17098

ATENO
O ORIGINAL DESTE TEM NO FORNECE CONDIES

PARA OBTER UMA CPIA DIGITALIZADA COM
MELHOR QUALIDADE
INSTITUTO DE PESQUISAS ENERGTICAS E NUCLEARES

SECRETARIA DA INDSTRIA, COMRCIO. CINCIA E TECNOLOGIA
AUTARQUIA ASSOCIADA UNIVERSIDADE DE SO PAULO
CLCULO OA PROBABILIDADE DE OCORRER ACIDENTES NO REATOR

IEA-R1
ROBERTO FRAJNDUCH
Dissertao apresentada ao Instituto de

Pesquisas Energticas e Nucleares como
parte oa requisitos para oMenAo do
Grau de "Mestre na Area de Concentrao
em Reatores Nucleares de Potncia e
Tecnologia do Combustvel Nuclear".
Orientador: Prof. Dr. Rot>erto Y. Hukai
So Paulo
1982
INSTITUTO
DE
PESQUISAS
ENERGTICAS
NUCLEARES
SECRETARIA DA INDUSTRIA, COMERCIO, CENCIA E TECNOLOGIA

AUTARQUIA ASSOCIADA UNIVERSIDADE DE SA.O PAULO
CALCULO DA PROBABIODADE
REATOR
DE OCORRER ACIDENTES
NO
EEA-Rl
ROBERTO FRAJNDOCH
Dissertao apresentada ao Instituto de

Pesquisas Energticas e Nucleares como
parte dos requisitos cara obteno
do
Grau de "Mestre na Area de Concentrao em Reatores Nucleares de Potencia e
Tecnologia do Combustvel Nuclear"
Orientador: Prof. Dr. Roberto Y. Hukai
SO PAULO
1982
Ao Dr. Leo Augusto Krieger,

amigo incentivador
A minha me Sara
e a meu pai Manoel
A minha esposa Elita
e ao meu filho Rafael Augusto
PESO
AGRADECIMENTOS
Agradeo a todos aqueles que colaboraram para a rea

lizao deste trabalho. Em particular desejo agradecer as
seguintes
pessoas:
- Ao Superintendente do Instituto de Pesquisas Energ
ticas e Nucleares;
- Ao Dr. Roberto Y . Hukai, meu orientador e amigo,

a quem muito devo pela realizao deste trabalho;
- Ao Sr. Joel Alvarenga de Souza, Gerente de
rea
do Centro de Operao e Utilizao Reator de Pesquisa que entre ou

tras coisas,
tornou possvel o meu estgio neste reator;
- Aos colegas do Centro de Operao e Utilizao Rea

tor de Pesquisa pelas colaboraes prestadas;
- Aos colegas do Centro de Processamento de Dados.
Roberto Frajndlih
agosto - 1982
NDICE
1.
2.
INTRODUO
1 . 1 - Aspectos Gerais
1 . 2 - Metodologia do Risco e o Relatrio Rasmussen
14
1 . 3 - Reatores de Pesquisa
20
1 . 4 - Objetivos desta Dissertao
22
DESCRIO SUSCINTA DO REATOR E SEU FUNCIONAMENTO
27
2 . 1 - Aspectos Gerais
27
2 . 2 - Sistema de Instrumentao e Controle
28
2 . 3 - Desligamento rpido ("SCRAM") do reator
30
2 . 3 . 1 - Barras Absorvedoras
31
2 . 3 . 2 - Res do Circuito de "SCRAM"
32
2 , 4 - Sistema de Refrigerap
32
2 . 4 . 1 - Circuito Primrio
33
2 . 4 . 2 - Circuito Secimdrio
36
2 . 5 - Operao do Reator
3 . TIPOS DE ACIDENTES
36
48
3 . 1 - Acidentes envolvendo causas externas
48
3 . 2 - Acidentes envolvendo a responsabilidade do operador
52
3 . 2 . 1 - Acidentes devido a possveis queda de objetos sobre o

ncleo do Reator
3 . 3 - Acidentes causados por falhas ele tro-me canicas
57
58
4. CALCULO DA CONFLA.BILIDADE DOS SISTEMAS

4.1 - C o n s i d e r a e s Gerais
65
4 . 2 - C o n s t r u e s das r v o r e s de Falhas
68
4. 3 - Estudo sobre o tipo de falhas e m componentes b s i c o s
70
4. 4 - C o n d i e s de o p e r a o
72
4 . 5 - Subrvores
72
4. 6 - Limites Analticos e Sintetizao de uma r v o r e de Falha
73'
4. 7 - Modo de falha c o m u m
74
( C o m m o n mode failures)
5. QUANTIFICAO DAS R V O R E S DE FALHAS
75
5.1 - Definies B s i c a s
75
5.2 - C o n s i d e r a e s Gerais
75-
5. 3 - c l c u l o aproximado das r v o r e s de Falhas
78
5. 4 - . l g e b r a Booleana e T e o r i a das Probabilidades .
80
5. 4.1 - l g e b r a Booleana
5. 4. 2 - L e i s das Probabilidades
80
5. 5 - Utilizao dos dados
84
86
5 . 6 - P a r m e t r o s usados para testes e manutenes
88
5. 7 - Falha Humana
91
5.8 - Tecnicas^de c l c u l o e a Distribuio L o g - n o r m a l . ^ .

5.8.1 - Propriedades
da distribuio L o g - n o r m a l
5. 9 - P r o p a g a o do e r r o pelo mtodo de Monte C a r i o
6. R V O R E S DE FALHAS DO R E A T O R l E A - R l E RESULTADOS
'92
95
96
98
6.1 - Construo
98
6.2 - Resultados
100
6. 3 - Concluses
121
APNDICE
125
APNDICE
138
APNDICE
147
REFERNCIAS BIBLIOGRFICAS
148
CALCULO DA PROBABILIDADE
.
NO REATOR
ROBERTO
DE OCORRER ACIDENTES
lEA-Rl
FRAJNDLIH
SUMRIO
Este trabalho trata dos procedimentos e elementos bsicos para se obter resultados numricos que traduzamo grau
de confiabilidade dos sistemas de segurana do reator de pesquisa
l E A - R l . Contm uma descrio suscinta do reator analisado, as r
vores de falhas dos tres sistemas componentes, o programa de com
putao e os resultados. Tecem-se comentrios sobre os
resultados
obtidos.
t N S T I T U l - C OE P E S Q U
? * S f \ P RC-, "''IC S E N U C L E A R E S
CALCULATION OF THE PROBABILITY TO OCCOUR ACCIDENTS

AT
lEA-Rl
REACTOR
ROBERTO FRAJNDLICH
SUMMARY
This dissertation concerns with the procedures and

basic elements involved in the calculation of the reliability of safe
ty systems of the lEA-Rl
research reactor. It presents a summa
ry description of the reactor systems, fail trees for the

systems components, the computer codes and numerical
Comments are made based on these results.
three
results.
1. I N T R Q D U O
1.1 - A s p e c t o s
Gerais
A descoberta da energia nuclear resultou de pesquisas realizadas ainda no final do sculo passado e atualmente
vem sendo utilizada principalmente na gerao de energia eltri ca.
Inicialmente, utilizada para fins blicos, este tipo
de energia foi aos poucos sendo controlada de tal forma que uma
nova tecnologia,
diferente das convencionais,
comeou a ser de -
senvolvida tanto sob o ponto de vista tcnico como de segurana.

Como resultado prtico, surgiu o reator nuclear de potencia, cujo objetivo a produo de energia eltrica com o mximo
de-
segurana, tanto para o homem como para o seu habitat.

A energia nuclear baseia-se rjo princpio da fis so dos ncleos de elementos pesados como o urnio e o plutonio
atravs do bombardeamento por partculas isentas de carga eltri
cas denominadas "neutrons". Da fisso nuclear, surgem dois ncleos leves com alto grau de instabilidade que os tornam radiativos,
o que significa dizer que a sua transmutao em outros ele-
mentos com caractersticas energticas mais estveis pode levar

desde uma frao de segundos at milhares de anos, dependendo
da espcie qumica.
(NS11TU,0
C;^ P E S Q U
^.Rf.
I. P. E. r;.
.MC'SE
NUCl
-ARES
10
Estes elementos apresentam-se tanto na forma slida,
lquida co-
mo gasosa e sua liberao para o meio ambiente pode ser altamen

te prejudicial a todos aqueles que direta ou indiretamente,
estejam
em contato com eles.
Todos estes fatores contriburam para que o
sur-
gimento dos reatores fosse acompanhado de preocupaes maiores

sob o ponto de vista de segurana jamais visto na histria da e n genharia. O reator totalmente envolvido por um edifcio de
con-
teno de ao e concreto para impedir um postivel escapamento de

material radioativo para o meio exterior e os sistemas de operao e segurana internos so redundantes para que a falha de
um
deles no comprometa a segurana da operao.
O licenciamento das centrais nucleares, por partes

das autoridades, feito de modo extremamente cuidadoso que che - .
ga a ser exaustivo e exige vrios anos para a sua aprovao.
Os estudos de viabilidade construtiva de uma
cen-
tral so elaborados e registrados nos chamados "Relatrio de Anlise de Segurana".Em linhas gerais,
este Relatrio
composto
de seis partes . A primeira, responsvel pela anlise de localizao,
mostra os estudos realizados com respeito a parte geolgica
do terreno escolhido,
direo e freqncia dos ventos,
r;;:sT;TUTor,E
P E S O U .
ndice plu-
11
viomtrico, capacidade de disperso dos poluentes, movimento de

guas, distribuio populacional, etc. A segunda parte, diz respeito as caractersticas neutrnicas, mecnicas e
termo-hidrulica
do reator. Nesta fase so relacionados os dados tcnicos,
descri
o dos materiais empregados, controle de qualidade, equipamenr

tos auxiliares e desempenho esperado. A terceira parte
todas as instalaes,
sistemas de ventilao,
descreve
locais de tratamento
dos materiais radioativos e sistema de conteno. Nos captulos se

guintes tem-se uma descrio completa da parte instrumental
de controle. Logo a seguir feita uma previso de programao

incluindo o incio das operaes, troca de combustvel e programa de manuteno. Por fim, h um captulo destinado
dos possveis acidentes e o
anlise
modo como os sistemas de seguran-
a interferem para sanar ou minimizar seus efeitos.
Neste cap-
tulo esto includos os planos de emergencia e treinamento
das
equipes de segurana e pessoal de operao.
Como em toda obra de engenharia, viabilidade

de utilizao de uma determinada tecnologia est ligada a fatores
tcnicos e econmicos.
Com o surgimento da energia nuclear , a - maior

dificuldade sob o aspecto de segurana era o de quantificar o que
realmente significava trabalhar com segurana, ou seja, qual de -
12
veria ser o risco aceitvel para os trabalhadores e populaes ci

cunvizinhas a uma central nuclear.
A partir de maro de 1957, iniciou-se propriamente dito o estudo cientfico para definio das probabilidades de ocor
rencia de acidentes em uma central nuclear e as suas consequncias para as populaes distribudas prximas ao reator e
para
meio ambiente. Para tanto, foi formado nos Estados Unidos uma co
misso composta por cientistas e engenheiros pertencentes ao "Bro
okhaven National Laboratory" que, juntamente com outros especia listas,desenvolveram um trabalho intitulado "Theoretical Possibili ties and Consequences of Major Acidents in Large Nuclear
Power
Plants". Este trabalho destinava-se ao estudo das possveis
conse-
quncias de que um acidente teoricamente crvel,
mas altamente im
provvel, ocorra em uma usina nuclear. Para este fim, foi
criado
um modelo terico a partir de hipteses que mais se aproximavam

da realidade. Tomou-se como referencia tim reator de potencia
de
500MW trmicos em um local tipicamente utilizado para essa finalidade. Assumiu-se a pior condio histrica para a ocorrncia
acidentes,
ou seja,
dos
ao final de 180 dias de operao do reator quan
do os mais importantes produtos de fisso j esto formados. Foram

considerados tres tipos de acidentes: no primeiro caso,
considerou
se a possibilidade de que todos os produtos de fisso encontravam-se
I- P
? , r-.
13
na
forma de vapor e se dispersariam no interior da contenx) sem
escapamento para atmosfera. Para o segundo caso,
as sumiu-se que
todos os produtos de fisso volteis seriam descarregados na atmos^

fera no momento do acidente devido a uma ruptura ocorrida
na
conteno ou pela falha no sistema de fechamento das penetraes

do prdio. No terceiro caso,
supos-se que 50% dos produtos
de
fisso seriam descarregados na atmosfera e subsequenteniente
dis-
persados de acordo com as hipteses feitas para as condies
me-
tereolgics e tamanho das partculas.
Como resultado deste estudo,
concluiu-se qu para
os tres casos mencionados, as estimativas indicavam que os
pre -
juzos pessoais estavam dentro de limites que variariam entre

nhimi ferido ou morto at um limite superior onde haveria
ne-
cerca
de 3400 mortos e 43000 feridos. Em termos de preju;zos materiais estes limites variariam na poca entre um milho e meio e sete bilhes de dlares. Estimou-se ainda, que uma pessoa poderia
ser morta dentro de uma. distancia de 24 Km do local do acidente
e sofrer ferimentos at cerca de 73 Km. A contaminao da terra
poderia se estender por maiores distancias.
Por outro lado, houve
um consenso geral entre os cientistas de que as probabilidades de

acidentes eram muito baixas, variando para o caso da liberao
dos produtos de fisso apenas no interior do vaso de uma chance
14
em 100 ate um chance em 10 000 por reator - ano. Para um aci dente envolvendo liberao significativa de produtos de fisso
no
interior do prdio da conteno, valores que variariam entre uma

chance em 1 000 at uma em 10 000 por reator - ano. E finalmen
te, para o caso de um acidente envolvendo a descarga de
gran -
des quantidades de produtos radiativos para a atmosfera, as pro babilidades situariam-se entre uma chance em 100 000 at
uma
em 1 bilho por reator - ano. Fazendo uma estimativa pessimis ta para o maior acidente e assumindo que 100 reatores
estejam
em operao, e considerando que em cada acidente morra

de 3 000 pessoas,
cerca
o trabalho mostrou que haveria uma chance em
50 milhes por ano de que uma pessoa perca a sua vida neste tipo de acidente. Enquanto que as chances de algum perder a
vi-
da em acidentes automobilsticos de cerca de um em 5 000 por

ano.
1.2 - M e t o d o l o g i a
do
Risco
Relatrio
Rasmussen
Um dos aspectos mais importantes visando a acei

tao da nova tecnologia diz respeito ao grau de confiabilidade que
esta pode oferecer. O termo c o n f i a b i l i d a d e ,
definido
como
a medida do grau de utilizao com sucesso de um componente ou

sistema dentro de limites do seu estado e condies de operao.
; , S E " - F R : ^ - ^ I C - S E
N U C L E A R E S
15
Para se conhecer a confiabilidade de um sistema,

tem sido utilizada a chamada Metodologia do Risco. O seu prin cpio bsico consiste em se conhecer a vida mdia dos componentes mais simples utilizados em uma instalao e, a partir
ento, usando um processo estatstico,
de
chegar a sua confiabilida-
de durante um certo perodo de utilizao.

, Este tipo de estudo teve sua origem no comeo do
sculo na indstria ferroviria,
os rolamentos usados nos trens.
incidindo principalmente
sobre
Tambm as companhias gerado -
ras de energia .eltrica muito se tem utilizado deste tipo de an lise,
que acima de tudo, aponta os pontos fracos ou superdimen -
sionados de redes eltricas.

No caso especifico de reatores nucleares,
a Meto
do logia do Risco tem um valor muito grande devido as incertezas

quanto a segurana dos sistemas adotados.
At 1972, ainda havia certa desconfiana com relao a aplicao matemtica desta metodologia. Experiencias at
ento realizadas indicavam resultados que apresentavam discrepan
cias com relao s ocorrncias reais. A partir de ento, com o
aperfeioamento tcnico e maior preciso dos dados, este mtodo
para anlise de acidentes passou a ser visto como algo
muito
promissor.
Nesta mesma poca,
iniciou-se a elaborao
de
16
um relatrio intitulado " R e a c t o r

la
Safety
S t u d y " promovido p
"U. S. Nuclear Regulatory Commission". O objetivo deste re-
latrio era o de fornecer uma estimativa realstica dos riscos que

envolvem uma usina nuclear e compara - los com os riscos .provenientes de outras tecnologias.
A direo deste estudo esteve a car-
go do Professor Norman C. Rasmussen do "Massachusetts Institute of Tecnology" 19.
Os reatores tomados como base para
ob-
teno dos resultados foram do tipo gua pressurizada (PWR)
gua fervente (BWR) que so at o momento, os reatores de potencia mais comercializados no mundo.
Aproveitando as experiencias anteriormente acumu ladas por grandes industrias e laboratrios que utilizavam a Meto dologia do Risco, esta comisso chegou a resultados importantes
quanto a confiabilidade dos reatores acima mencionados. Entre
indstrias consultadas,
estavam a " B o e i n g
as
C o m p a n y " , com lar
ga experiencia na coleta de dados e construo das rvores

falhas e o ' ' L a b o r a t o r i o
Nacional
de
Oak
de
R i d g e " que deu
grandes contribuies no que diz respeito s anlises dos sistemas

de engenliaria.
O "Hanford
L a b o r a t o r y " , encarregado
desenvolvimento de projetos de engenharia,
pelo
contribuiu muito com es
tudos em modelos.
O Relatrio Rasmussen toma por modelo uma usina
operando a 1 OOOMW trmicos. Com este porte pode gerar energia
'
"
'
. t . ' P -r 'ir
I. P - E . I--
<: F N I I C !
FARES'
17
eltrica para aproximadamente 500 000 pessoas.
O vaso de presso
contm 100 toneladas de urnio dispostos em varetas com
dime-
tro igual a 1, 27cm e 3, 66 m de altura. O reator refrigerado
gua que ao passar pelo vaso absorve o calor oriundo das fisses e
se transforma em vapor. Este, por sua vez, utilizado para
mo-
ver as turbinas que geram a energia eltrica.

Segundo o mesmo Relatrio, a possvel fuso
ncleo sem dvida o acidente que mais danos pode
do
causar nes -
te tipo de instalao e cita como potenciais causas principais,
perda do fludo refrigerante e os transientes de potencia. A perda

do fludo refrigerante atravs do rompimento de uma vlvula, tubulao, bomba ou ruptura da conteno levaria a imediata paraliza o da operao do reator. O calor internamente produzido baixaria
aps o desligamento,
at atingir um valor aproximado de 7% do to-
tal. A partir de ento, a queda da temperatura lenta e o
calor
residual existente pode levar a fuso dos elementos combustveis

do vaso de conteno do reator. Para remoo do calor residual
xiste o Sistema de Refrigerao de Emergencia (CCS). Por
vez,
o termo t r a n s i e n t e s
de
potencia
e'
e-
sua
se aplica a qualquer
condio anormal que exija o desligamento do reator. Os resultados

deste Relatrio dizem que a probabilidade de fuso do ncleo do rea
tor est em torno de um para 20 000 por reator-ano.
com estes resultados,
Juntamente
so apresentadas as Figuras 1.1 e 1.2
que
18
comparam os riscos proporcionados pelo funcionamento de 100 usinas nucleares com outros eventos causados pelo homem ou, devido
aos fenmenos naturais. Como se observa, os riscos devido a even
tos no nucleares so cerca de 10 000 vezes maiores no sentido de
causarem um nmero de mortos mais elevados que os riscos devido a centrais nucleares.
A primeira edio deste Relatrio apareceu
1975 e,
em
a partir de ento, vrios trabalhos tm seguido as mesmas
diretrizes. Em janeiro de 1976, foi publicado nos Estados Unidos

um outro relatrio intitulado " H T G R
Progression
Analysis
Status
Accident
Report
Initiation
/is/.
and
Destinava-se
ao estudo dos riscos em reatores que operam em altas temperatu ras e so ref rige raaos a gs. A principal diferena entre este Re latrio e o anterior, diz respeito as suas finalidades. Enquanto
primeiro tinha por fim avaliar os riscos de sistemas j existentes,

o segundo foi usado como base para o aperfeioamento dos sistemas
em desenvolvimento ou seja, na construo futura dos reatores tipo
HTGR (High Temperature Gas Cooled Reactor).
A partir do momento em que a anlise de risco comeou a ser utilizada em tecnologia nuclear, sentiu-se a falta
dados com relao aos dispositivos,
equipamentos e sistemas usa -
dos nas centrais nucleares. Foi ento que uma equipe do

to
de
Eletricidade
Edson
de
Institu-
(EEI), tambm nos Estados Uni -
(NS I I T U 1 o D P E S O U
- A S IV
I. P . f.
U.
' IC
SENUCiEARES
19
dos,
comeou a desenvolver o chamado S i s t e m a
Confiveis
das
Centrais
Nucleares
de
Dados
(NPRDS), a pedido
do "Nuclear Technical Advisory Board" (NTAB), pertencente

"American National Standards Institute" (ANSI) / 2 8 / . O
ao
objetivo
foi o de desenvolver um mtodo padro para obteno e armazenamento de dados sobre confiabilidade dos componentes para posterior utilizao na anlise de segurana global dos sistemas.
Em julho de 1973, um manual de normas para
coleta de dados foi completado e um programa piloto foi
iniciado
com seis usinas nucleares. Entre elas estavam as usinas "Maine

Yankee" e "Nine Mile Point I". Este manual tinha por
objetivo
comparar os resultados obtidos por meio de programas de computao com dados reais destas unidades. Tanto os dados como
os
programas foram sendo aperfeioados. A partir de julho de 1974,

a implantao industrial do "NPRDS" teve incio atravs da inds^tria nuclear.
Entre os objetivos e beneficios do "NPRDS"
podem citar a coleta,
se
estocagem e obteno com maior preciso
da confiabilidade e a estatstica de falha dos sistemas e componentes nucleares que permitiu:

a. maior preciso e segurana nas usinas e compo
nentes nucleares;
b. maior fator de disponibilidade de operao
das
20
'jsinas;
c. otimizao das reduncancias dos sistemas;
d.
expedio de licensas e diminuio do tempo
custo da construo da usina;

e. avaliao e ajustamento dos perodos de
testes
para sistemas e componentes;

f.
identificao dos modelos de falhas significativos;
g. identificao das tendncias de falhas e deteco

de modelos comprometedores.
1.3-
Reatores
de
Pesquisa
Todas estas consideraes dizem respeito usinas

nucleares de potncia cuja capacidade de gerao de energia eltri_
ca atingem, hoje, o ndice de 1 300 MWe e so utilizadas comerci_
almente. Por outro lado, existe uma classe toda especial de
tores,
rea-
necessariamente de menor porte gerador, e chamados
de
reatores de pesquisa. Estes reatores so utilizados principalmente

para irradiao de materiais na produo de istopos, experincias
em fsica de neutrons e treinamento de pessoal.
Ao contrrio dos reatores de potncia que
nam
com alta potncia trmica, os reatores de pesquisa
funcio
operam
dentro de limites que variam desde poucos watts at cerca de . . . .
I N S I I T U 1 O D E P E S Q U * S fc R . . ' i C S fc N U C i
I, P . E, N .
-iAPSfS
21
100 MW. Entre estes reatores,
existem os chamados reatores de
potncia zero que tem como finalidades,
a formao de pessoal
a investigao dos parmetros neutronicos.
Operam em potncias
muito baixas, ou sejam, inferiores a 1 KW por tempo indeterminado de operao contnua ou at 10 KW em curtos intervalos de tem
po. Desta forma no necessitam de um sistema de refrigerao e_s
pecfico
e as trocas trmicas podem ser feitas por simples
con
veco do ar.
Entre os trabalhos existentes sobre Metodologia de
Risco aplicada reatores de pesquisa,
foi publicado em 1977,
dissertao de mestrado intitulada " S i s t e m a

Instrumentao
tituto
de
do
Energia
fiabilidade"
Reator
de
Atmica
16J que analisa,
de
Potncia
o
Controle
Zero
Calculo
de
do
sua
a
e
In
Con
pormenorizadamente, os siste -
mas de operao e segurana deste reator e a partir da elabora o das rvores de falhas destes sistemas,
calcula
as probabili-
dades de possveis ocorrncias de um acidente envolvendo criticalidade. Um segundo trabalho sobre este reator, foi publicado
1978,
dade
com o ttulo " A n l i s e

no
Energia
Reator
de
Atmica''
de
Potncia
I XI I .
Acidentes
Zero
do
de
em
Criticali-
Instituto
de
Neste Trabalho, o autor procurou
mostrar todas as sequncias que conduziram a um acidente envol vendo a liberao de material radioativo. Os resultados mostraram
para cada sequncia a energia liberada e a atividade dos produtos
22
de fisso apos 1 hora e ate 100 horas apos o acidente. Estimou-se

a temperatura mxima do combustvel e do seu encamisamento, re sultante dos acidentes postulados.
Os dois trabalhos acima descritos se complemen tam pois, enquanto o primeiro se preocupa em calcular as probabi_
lidades de que os sistemas venham a falhar causando um acidente,
o segtindo determina as consequncias provocadas em acidentes envolvendo sequncias diferentes.
O resultado alcanado no-primeiro
trabalho indica que a probabilidade de um acidente neste reator
-8
de cerca de 1, 51 x 1 0
por ano.
Os reatores que operam com potencia superior
200 KW necessitam de um sistema de refrigerao mais especifico.

Um dos reatores de pesquisa desta natureza, o "tipo piscina".
Neste tipo de reator, o ncleo encontra-se imerso em uma piscina
aberta, facilitando o manuseio das amostras a serem irradiadas ,
experincias na placa matriz e o fcil acesso aos elementos com - .
bustveis e refletores. Estes reatores foram construidos principalmente no final da dcada de 1950, quando os processos de licencia
mento eram mais simples que os atuais.
1.4 - O b j e t i v o s
desta
Dissertao
O lEA - Rl xim reator de pesquisa do tipo piscina
23
operando em uma potncia de 2 MW no Instituto de Pesquisas Ener

gticas e Nucleares e se
constitui no objeto principal desta disser^
tao. Na elaborao do Relatrio de Segurana / 1 2 / deste
reator
foram tratados os tipos de acidentes possveis de ocorrer e os me_

ios para impedi-los. Tambm foi analisada a parte de segurana
envolvendo visitantes,
pessoal experimental, operadores do reator
e o pblico em. geral. Por fim, este estudo postula o Acidente Ba

sico de Projeto (ABP) e analisa suas conseqncias.
Estes aciden-
tes so estudados no Captulo III deste trabalho.

O presente trabalho tem por objetivo complementar
o Relatrio de Anlise de Segurana, dando maior nfase aos ris C O S que um reator deste tipo pode oferecer aos operadores, pesqui_
sadores e populao em geral. Trata-se de aplicar a Metodologia
do Risco aos sistemas deste reator. Para tanto, foram construidas
as rvores de falhas para os trs sistemas principais de seguran a do lEA - R l , a saber:
1.
Sistema de Instrumentao e Controle;
2.
Sistema de Refrigerao;
3. Sistema de fornecimento de energia eltrica.

A partir de um clculo em computador obtiveram
se as probabilidades de ocorrncia de um possvel acidente
neste
tipo de reator. No captulo seguinte feita uma descrio do rea tor a ser analisado incluindo os principais dispositivos e sistemas
da sua operao. Posteriormente,
feita uma anlise qualitativa dos
24
possveis acidentes em um reator deste tipo. Procura-se, entao

dar nfase ao sistema de "SCRAM",
responsvel pela paralizao
quase imediata da operao do reator.

Nos
demais captulos so feitas consideraes
so-
bre o clculo da confiabilidade dos sistemas, incluindo os concei tos bsicos ento adotados, a tcnica utilizada para a construo e
clculo das rvores de falhas e os resultados obtidos. Nos Apndi_
ces A, B e C encontram-se os resultados, o programa de computa
o utilizado, a sua descrio e a simbologia adotada nas anlises
feitas.
E rjuci
SARES f
25 '
e
c
o
3
O-
10
100
1.000
10.000
100,000
I.OOGXXX)
Fotalidodas, X
FIG.
1 . 1 - Frequncia de Mortes Causadas por Eventos Provocados

pelo.Homem / l 9 / .
Notas : 1 - Mortes devidas a acidentes automobilisticos nao
so mostrados porque estes dados no so dis ponveis. Acidentes automobilsticos causam cer
ea de 50 000 mortes por ano nos EUA.
2 - Incertezas para acidentes nucleares so estimadas representativamente por fatores 1/4 e 4 na
magnitude das consequncias e por fatores d e i / 5
e 5 nas probabilidades.
3 - Para ocorrncia naturais provocadas peto homem
a incerteza na probabilidade das consequncias de
maior magnitude representativamente por fatores
de 1/20 e 5. Menores magnitudes so acompanhadas de menores incertezas.
26
10,000
iod,cx)0
1.000.000
ratalidades, X
FIG. 1. 2 - Frequncia de Mortes Provocadas por Eventos Naturais

/19/.
Notas: 1 - Para ocorrncias naturais e provocadas pelo homem a incerteza na probabilidade das consequn
cias de maior magnitude estimada representa"
tivamente por fatores de 1/20 e 5. Menores ma
nitudes tem menos incertezas.
2 -Incertezas para acidentes nucleares so estima
das representativamente por fatores de 1/4 e 4"
na magnitude das consequncias e por fatores
d e l / 5 e 5 nas probabilidades.
27
2.
DESCRIO
SUSCINTA
DO
REATOR
SEU
FUNCIONAMENTO
2.1- A s p e c t o s
Gerais
O Reator I E A - R I est localizado
no Institioto de Pe
quisas Energticas e Nucleares de So Paulo, e tem operado
desde
1958 com uma potncia de 2 MW embora sua capacidade construtiva

permita at 5 MW. Com a introduo de mais um circuito de refrigerao e com a troca do revestimento interno da piscina de cera mica para chapas de ao inoxidvel, a potncia do reator poder eventualmente ser elevada at 10 MW.
O reator do tipo piscina (Figuras 2.1 e 2.2i)
com
dimenses da parte ativa do ncleo igual a 60 x 40x38cm. Tem como

moderador e refrigerante a gua leve; como refletor, blocos de grafir
ta revestidos de alumnio e como blindagem radiolgica gua e concreto com barita que chega a atingir 2, OOmetros na parede lateral
da piscina. O fluxo de neutrons controlado por trs barras de segurana e vima de controle. A refrigerao realizada atravs
uma circulao forada de cima para baixo com gua leve,
de
com va-
zao normal de 600m /h, sendo a temperatura de entrada do refrigerante no ncleo do reator em torno de 30C e de sada 33C, para
a operao de 2 MW.
(NSTITU iO De P f S Q U
e
l. P
E.
F R - G I C
N,
'
S N LICI EI A R E S
i
28
2.2-
Sistema
de
Instrumentao
Controle
Este sistema (Figura 2.3) tem por finalidade possi

bilitar uma operao segura do reator e realizado atravs de informaes transmitidas pelo sistema de controle,
reator opere manualmente ou automaticamente
neutronico ou do nivel de potencia.
permitindo que o
pelo ajuste do fluxo
Os canais de medidas nucleares
funcionam atravs de circuitos de deteces e podem ser
classifica
dos em dois grupos conforme a sua funo.
1. Canais de Operao
2.
Canais de Segurana
O nvel de fluxo neutronico e a razo de sua varia

o so os dados principais que influem no comportamento destes
canais. Este nvel fornecido por trs canais :
a) Canal de Partida
Este canal mede o fluxo de neutrons em nveis suficientes para serem distinguidos dos rudos de fundo. usado para evitar a partida do reator sem que haja uma. indicao da conta
gem mnima de neutrons e pode medir o fluxo em nveis da ordem
de 10
da potncia total.
29
b) Canal Linear
Indica os nveis de potncia de 0,1% a 100% da potncia total. o canal que fornece os sinais para unidade de con trole automtica do reator que est acoplado barra de controle
Este canal no est diretamente ligado ao sistema de desligamento

imediato do reator.
c) Canal Logartmico
Tem a funo de fornecer dados sobre o nvel e perodo do fluxo de neutrons no reator. Este canal deve evitar v a r i a es bruscas do fluxo assim como registr-las.
A instrumentao destinada a segurana fornecida

pelos seguintes canais :
Cj^) Canal de Segurana 1
C 2 ) Canal de Segurana 2
c^) Canal de Segurana 3
c^) Canal Logartmico e de Perodo
Os canais de Segurana comeam a atuar a partir do

momento em que a potncia maior que
10% da total. Estes canais
so calibrados com o objetivo de evitar o aumento da potncia aci -
30
ma de valores pre-estabelecidos.
O funcionamento e baseado na Io
gica 2 em 3, ou seja, necessrio que pelo menos dois detetores

acusem a elevao da potncia acima dos nveis permissveis
para
que seja acionado o sistema de segurana. Este mtodo evita, por

exemplo, o desligamento do reator devido a um pico de potncia Io
calizado nas proximidades de um dos detetores.
O Canal Logart -
mico e de Perodo fornece informaes sobre o perodo do fluxo de

neutrons no reator conforme a equao abaixo :
tit
0^6
( E q , 2.1)
onde :
0Q = fluxo de neutrons em imi determinado tempo
"t"
t
= tempo
= perodo
Para valores de " '' " muito
curtos,
a tencncia
um aumento muito rpido do fluxo neutronico, com o conseqente

desligamento do reator.
2. 3 - D e s l i g a m e n t o
rpido
(' ' SC R A M ' ' )
do
Reator
A principal preveno contra acidentes est na inser

o das barras de segurana no nicleo do reator. O termo "SCRAM"
7^"::-^"^.^
rrrri^T
DE F E S Q u
v^^/;;
"
''
'
NL.'Cl-i^/-R*
31
denota a paralizao brusca da operao sempre que
houver o cor
te de energia nos res de contato dos magnticos que sustentam as

barras de controle e segurana com a consequente queda pela ao
da gravidade. O "SCRAM" pode ser acionado automaticamente
manualmente. O "SCRAM" automtico
conhecido
como
ou
rpido
e ocorre independentemente do operador sempre que surgir algum a

viso especfico ou falha proviniente da cadeia de rels ligados aos a
parelhos
e dispositivos de
funcionamento do reator. O "SCRAM"
manual, conhecido como lento,
ser acionado
sempre que o opera
dor constatar alguma irregularidade que ameace a segurana da operao. Esta constatao deve ser feita atravs de sinais lumino S O S e alarmes dispostos na sala de controle da operao.
2.3.1-Barras
Absorvedoras
As barras de segurana so em nmero de trs. A lm destas,
h uma de controle. Todas as quatro se encontram mon
tadas na trelia que sustenta a placa matriz. Por ocasio do inicio

da operao, as barras de segurana so retiradas do ncleo do rea
tor segundo uma porcentagem que varia de dia para dia conforme a
quantidade de material absorvedor existente,
principalmente da con-
centrao do xnon e do Samarlo. A barra de controle funciona
de
duas maneiras :
INSIITLNO
PESOU
1 o
N.
32
a) manualmente
b) automaticamente
Inicialmente,
o mais adequada.
colocada de forma manual na posi-
Quando o reator est em fase de estabiliza -
o coloca-se em automtico. Nesta etapa,
as variaes desta bar-
ra mantm a potncia de sada no valor pr-determinado. O material absorvedor das barras constituido de 80% de prata, 15% de
indio e 5% de cadmio.
2. 3.2 - R e l s
do
Circuito
de
"SCRAM"
O circuito de "SCRAM" composto por uma cadeia de rels ligados s barras de segurana e controle. Qualquer ir
regularidade nos sistemas resulta no desligamento do reator ou no
alerta aos operadores atravs do painel de alarme localizado na me
sa de controle. O alerta feito atravs de dois conjuntos contendo
doze sinais luminosos cada. Um conjunto apenas indicativo de de^
terminadas situaes de menor gravidade e dispensam a paraliza o
imediata da operao. O segundo conjunto, indica o motivo pe^
Io qual o reator foi desligado automaticamente.
2.4 - S i s t e m a
de
Refrigerao
O sistema de refrigerao pode ser visto na Figu -
33
ra 2 . 4 .
Tem por objetivo remover o calor gerado no ncleo do re
ator pelas fisses nucleares e dissipa-lo na atmosfera. Isto feito atravs d dois circuitos :
a) circuito primario
b) circuito secundario
2.4.1 - C i r c u i t o
Primario
Este circuito responsvel pela refrigerao direta

dos elementos combustveis atravs da circulao forada
da gua
da piscina,
as suas
segundo um ciclo descendente, passando entre
placas e sendo conduzida ao trocador de calor.
Este circuito composto pelos seguintes elementos:
1.
Piscina
3
Tem um volume de 272m , sendo dividida em dois

compartimentos. Um deles destina-se a estocagem e manuseio
material radioativo, enquanto o outro, contm o ncleo
de
do reator
destinado a operao.
2. N c l e o
do
Reator
Composto pelo arranjo de elementos combustveis ,

refletores e de irradiao, o local onde ocorrem as fisses
cleares.
nu -
34
3. P l a c a
Matriz
uma placa de aluminio (82, 86cm x 63, 97cm
11, 43cm) onde existem 80 orifcios ( 8 x 10) que servem de soque

tes e suportes para os elementos que formam o ncleo do reator.
A placa sustentada por uma trelia conectada plataforma rolan
te e pode ocupar trs posies no interior da piscina. Na primeira
aparece conectada ao funil de circulao. Nesta posio o reatorpo^
de operar com sua potncia mxima. A segunda posio frontal
coluna trmica e a potncia no deve exceder os 100 KW j que a
refrigerao feita atravs de conveco natural da gua da piscina. E por fim, no compartimento de estocagem, para eventual isolamento do compartimento destinado a operao normal.
4.
Funil
de
Circulao
uma pea em alumnio com formato tronco-pira midal cuja finalidade o de ligar a placa matriz com a vlvula
de
conveco.
5. v l v u l a
de
Conveco
Constitui o sistema de acoplamento da parte inferior

do funil de circulao com a tubulao do circuito primrio. Este ai
coplamento inicialmente feito mecanicamente por meio de uma has
te ligada ao sistema pneumtico enquanto sua manuteno nesta posi
o e realizada atravs da queda de presso causada pela velocida-
35
de de escoamento da agua no seu interior.
6.
Tanque
de
Decaimento
Tem por fim reter a gua proviniente do ncleo do

3
reator por 74 segundos em um compartimento cilindrico com 27,2m

para que haja o decaimento do Nitrognio(N-16) formado pela r e a o do Oxignio presente na gua com os neutrons oriundos das fis
soes.
7. T r o c a d o r
de
Calor
o responsvel pela transferncia do calor da
gua do circuito primrio para o secundrio durante a operao.
capacidade util de troca trmica de aproximadamente 4 , 4
A
6
x 10
Kcl / hora.
8. D i f u s o r
constituido por trs tubos em alumnio com dia metro de 10 polegadas (25, 4cm) ligados em forma de T e coloca dos no fundo da piscina. Tem por objetivo distribuir de maneira ho_
mognea a gua que retorna piscina evitando a formao de cor rentes. A passagem da gua feita atravs de 572 orifcios situa dos na parte inferior dos tubos.
36
2. 4. 2 - C i r c u i t o
Secundario
Tem por fim remover o calor da gua do Circuito

Primrio nos trocadores de calor e dissip-lo em torres de refri
gerao externas.
2. 5 - O p e r a o
do
Reator
Suscintamente,
a operao do reator realizada con
forme o esquema delineado nas Figuras 2. 5 e 2. 6.
O funcionamento do reator tem incio a partir da elevao da barra de controle e das trs barras de
meio de um mecanismo eletrnico.
segurana
por
As barras so formadas por ma
terial altamente absorvedor de neutrons (Prata, ndio e cdmio) e na

medida em que so retiradas do ncleo do reator, permitem um au
mento da populao de neutrons e,
fisses.
conseqente aumento da taxa
de
Esta operao realizada a partir da sala de controle por
dois tcnicos operadores supervisionados por um supervisor. Os o peradores baseiam-se em leituras feitas nos registradores dispostos
em dois painis. Entre os dados registrados t e m - s e ,
o nvel do Ni-
trognio-16 formado no ncleo do reator na medida em que o Oxignio das molculas de gua capturam um neutron, e a medida da tem
peratura da gua em diversos locais,
a saber :
-..^:.,C-SENUCLeAR<=8
37
a) Entrada e sada do ncleo

b) Entrada e sada do tanque de Decaimento
c) Superficie da piscina
A indicao do posicionamento das barras assim co
mo os registradores,
linea.r e logartmico, localizam-se na mesada
controle frontal aos operadores, permitindo assim, um controle visual da operao.
A parte mecnica por sua vez, pode ser subdividida

em
duas : o " S i s t e m a
Ar",
o".
de
Circulao
Monitorao
dentro do predio do reator, e o " S i s t e m a
de
O primeiro responsvel pela renovao do ar
de
Refrigera^
no interior
do predio atravs das trocas com a atmosfera exterior. Estas insta^

es que se destinam a ventilao e condicionamento do ar so
em
nmero de duas, uma do tipo convencional e outra de caracter nu clear para o tratamento e exausto do ar contaminado para fora
prdio. Estas instalaes,
quando em funcionamento,
mantm
do
uma
despressurizao* no interior do prdio do reator de 15mm CA (colu^

na de gua) para impedir uma fuga de ar descontrolada. Em caso de
contaminao, esta despressurizao favorece sempre a entrada
de
ar no prdio
de
atravs de portas e alapo de acesso ao sistema
ar condicionado.
38
Os pontos de tomada de ar so aqueles que maior

risco de contaminao apresentam, tais como, o saguo da piscina, saguo de experiencias e sala de mquinas. Em caso de aci dente envolvendo a contaminao do ar, existe um sistema de e x austo de emergencia capaz de manter uma despressurizao
-20mmCA no interior do predio,
de
quando este estiver em condies
estanques e ainda liberar com pequena vazo, o ar contaminado aps trata-lo atravs de filtros especiais de carvo ativado.
O Sistema de Refrigerao composto pelos circui

tos primrio e secundrio. O primeiro est diretamente ligado o
perao, e a gua de recirculao apresenta ndices de radiao ,
a saber, que os tomos de Oxignio existentes nas molculas de
gua ao capturarem um neutrn transmutam para
Nitrognio
que
permanece radioativo por um perodo de aproximadamente 7 segundos. Este circuito formado por tubulaes que conduzem a
gua
de refrigerao desde a parte inferior do ncleo, atravs do tanque

de decaimento, trocador de calor e por fim de volta a piscina por
meio do difusor. O circuito primrio constituido por dois circuitos que podem operar em conjxmto (lOMW) ,
ou intercaladamente
(at 5 M W ) .
Em paralelo com o circuito primrio
"Sistema
funciona
A u x i l i a r " encarregado do tratamento e retratamento
39
da agua de refrigerao. O tratamento e utilizado para recompor o

nivel da gua da piscina compensando assim as perdas por evapora
o e eventuais fugas atravs de vlvulas e do motor-bomba. Esta
gua provm de sistema de gua potvel da Cidade de So Paulo e,
portanto, necessita de um tratamento adicional
piscina.
antes de entrar na
Primeiramente esta gua passa atravs de um filtro "Car
tucho Cono" cuja finalidade filtrar partculas com dimetro superior a 50 J..
Depois, conduzida atravs de um "amolecedor" oii
de tem sua dureza diminuida. Em seguida, passa atravs do filtro

de carvo ativado que retm material orgnico e partculas em sus
penso. Passa,
ento, atravs de resinas desionizantes para final-
mente voltar a passar por outro filtro "Cartucho Cuno" e alcanar

a piscina.
O retratamento tem por finalidade melhorar as ca ractersticas da gua do circuito primrio. A gua captada direta
3
mente da piscina segundo uma vazo de aproximadamente 4, 54m /h.

Esta vazo passa atravs de um filtro "Cartucho Cuno", filtro
de
carvo ativado, resinas e novamente por um filtro "Cartucho Cuno"

antes de retornar piscina.
O circuito secundrio totalmente independente

circuito primrio e a gua de recirculao no
do
apresenta ndices
de radiao, podendo portanto, estar em contato com o meio ambi-
40
ente. Isto ocorre nas torres de refrigerao, onde o calor absorvi

do no trocador e dissipado.
Todos os sistemas enviam sinais sala de controle atravs de circuitos eltricos.

res,
compostos
por
compem um circuito de segurana ligado diretamente
ao
"Sistema
Estes circuitos,
de "SCRAM" do reator'.' Na medida em que alguma a-
normalidade eventualmente ocorre durante o funcionamento do rea tor, o defeito ou a ocorrncia pode ser detectada pelos operadores
por meio de alarmes e ou luminosos dispostos na sala de controle
ou atravs da rede de res que, interrompendo a corrente eltri ca, provocam a imediata queda das barras e consequente paralizao da operao.
O fornecimento de energia eltrica ocorre
atravs
da rede urbana, e uma eventual queda de tenso levaria a paralizao da operao. Para evitar isto,
existem dois moto-geradores
tipo "no-break" e outros dois que entram em funcionamento

um
do
aps
intervalo de 10 segundos. Todos funcionam com leo diesel du-
rante uma eventual falta de energia. Os moto-geradores "no-break"

diferenciam-se dos outros dois por impedirem a interrupo do fornecimento de energia eltrica,
ja que entram quase
que mstantanea
mente em operao. Os moto-geradores "no-break" alimentam

motor-bomba do circuito primrio e a mesa de controle,
enquanto
41
os outros alimentam, entre outros, o sistema de iluminao
do
prdio do reator e o circuito secundrio.
No prximo captulo teceremos consideraes
so
bre o s acidentes hipotticos que poderiam ocorrer com o l E A - R l .
>
z
c
o
en
O
C
/bi*
Tuto
ia/da MA o TIWCAOO* Dl CALOU
Dr i M t n t f X a p i
CDIICAITO Di (ARITA
tlTDUTUDA DI (UiTfNTAlo 00 OfATfl&
IIIMDIIAMA m ACO CA
<lUMT>pb DA i w A DO DIDTIIU 01 TMMMI
iTeime m
lortiu
Di
i)(n*niitiii
FIGURA 2.1
Vlilo gorol do rpotor IEA-RI
lItoica
d* . o n t i
i'lVULA DC AUMCNTAfa C PRENAREM PO TUPO PC IRRAOlAfZo
VLVULA PC DCapMO
AmiAt PC CONTAOLC I 9CMAA
-CAMARA DC lONIIACAQ,
0( Tuao PC IRRAPIAlO
PLACA MATRIZ
,
-USO Pt IRRADIAO
;A0
TAHOCMCIAL '
TUPO OC IRRADIAO TANOCNCIAL
COLUDA TRMICA
avii.
CAiniTIL 00 CAOO 01 ACIIHIITACD
POOTA bA COLUNA TIOMIC*
''
IS3
43
SUOIITtOO
OC CIIICUL*C0
UNlDABl OC Cl
04 OMTC
CAIXA OC KCDU0i
FIOUHA
2.2
Vi.to
do eloo 0 r . o o r
eonoctoda
o pont
t do t r . l l o
rolont
do utlontooo
44
manmcto
TAMOUI
OC OCCAIHCNTO
NITrAmmOH
MOTOR
M'
M > U T C T O R
V L V U L A CIRCUITO
UCUNOARIO
V C
V > - ' V L V U L A (C I R C U I T O
K R rHIM4NI0
TIt-RteiSTRAOOR C I T I M
PtMATURAI PAINEL)
Ll
TW-POO M d A T t m
TfMPfRATUKA.
ri'
ril-RCS4STIU(l(M KWZto
riSCINA
FIG.
2.4
FLUXOGRAMA ESOUEMATICO 00
SISTEMA DE REFRiOERAC&O DO
REATOR IEA-W|
CIRCUITO
SECUNDRIO
TORRE DE
RESFRIAMENTO
TORRE DE
RESFRIAMENTO
4^
OI
Esquema
Cl R C U I T O S
Borros
Absoryedoros
VAZ
c a n a i s de
medidas
nucleores
SINAL
AO
Medidos
ou xlli a r e s
TemperQtur<
canos de
medidos
N I V E L de N-16
Rl
E A-
IEA-RI
Parte mecan.
Rector
Energia
eltrica
do
C a n a l s de
deteco
de f u n c i o n a m e n t o
MECANISMO
Parte eltrica
FIG. 2 . 5 -
V A Z A O
L E ITURAS
T E MPERATURA
P o s i c a o das
barros
Opera dor
>
m
Z
C
-+
Ta
-n
v>
>
o
C
m
01
ra
T)
z
05
-1
trocador de calor
5 -
7 -
difusor
6 - funil de circulao
vlvula de convecpSo
tubulaes e v l v u l a
energia ele'trtca
no-break
FIG.
MOTORBOMBA
4-
3-
2 -
1 -
CALOR
TROCADOR
OE
do
Cire Secundario
Continuopo
I!
10 -
9 -
TORRES
DE REFRIGER.
Sistemo de recirculoo de or
Principal
I 10
0 0
Sistema
Circ. Primario
do gua da piscina
retratamento
tratamento
tanque de decaimento
Sistemo de Refriger.
2.5
Sistema
Auxiliar
-4
48
3. T I P O S
DE
ACIDENTES
Basicamente, os acidentes possveis de ocorrerem

com o reator lEA-Rl podem ser classificados em trs categorias:
a. Acidentes devido a causas extern^.
b. Acidentes que, direta ou indiretâaente, envoi vem falhas humanas;
c. Acidentes decorrentes de falhas eletro-mecani cas.
3.1 - A c i d e n t e s
envolvendo
causas
externas
a. fenmenos Metereologicos
As fortes chuvas e os ventos com altas velocidades

podem ser responsveis por vrios tipos de acidentes. Instalaes
'
deste gnero localizadas em regies com altos ndices de precipi taes pluviomtricas precisam estar protegidas contra possveis
inundaes e conseqente prejuzo na operao normal do reator. Por
outro lado, ventos com altas velocidades podem ser responsveis pe^
Io lanamento de projteis contra as paredes do prdio do reator o
que, eventualmente, pode ocasionar sua ruptura e egnsequente liberao
de gases radioativos no meio ambiente.
49
O reator lEA-Rl localiza-se em uma regio que, S

gundo dados fornecidos pela Estao Mirante do 7? Distrito Metereo^
lgico da Agricultura, sediada no bairro de Santa Efignia,
o predominante dos ventos,
a dir -
principalmente nos meses de vero
a Sudeste (SE) em direo aos bairros do Butant, Jardim Paulista

e Ibirapuera; durante o inverno, predomina a direo Nordeste (NE).
Durante todo o ano, h sempre ventos soprando uniformemente
na
direo Este (). Segundo a mesma fonte, os ventos fortes so ra ros nesta regio. A s velocidades mximas so registradas na dire o Nordeste (NE) com valores mdios mensais que variam
3, 4 e 5,1 m / s .
entre
A maior frequncia dos ventos fortes se encontra na
direo Sudeste (SE), com velocidades mdias registradas num pero

do de 10 anos entre 3,0 e 4 , 2 m / s / 1 2 / .
Como se observa, as velocidades dos ventos
esto
muito aqum daquelas que poderiam ameaar a integridade do prdio

do reator. Alm disto, o edifcio principal onde se localiza o reator,
totalmente envolto por uma parede de concreto com alta densidade
que diminui sensivelmente os riscos sua integridade no caso
que projteis sejam
em
lanados pelos ventos em sua direo.
Quanto as precipitaes pluviomtricas,
a mdia em
um perodo de 10 anos (1961 - 1970) foi de aproximadamente

1352, 6 mm / ano. A maior mdia ocorreu no ms de fevereiro . . . .
(2 31,4 mm / ano). De outubro a maro ocorreram as maiores preci
50
pitaes pluviomtricas. A drenagem natural das aguas prximas ao

reator faz-se em direo ao canal do Rio Pinheiros,
eliminando pra^
ticamente os riscos de inundaes por ocasio das fortes chuvas / 1 2 / .
b. Fenmenos Ssmicos
Os sedimentos tercirios
e quaternrios sobre
os
quais se assenta a Cidade de So Paulo podem sofrer em determi nadas pocas,
acomodaes geolgicas causadas por reflexos
de
movimentos tectnicos que ocorrem na regio dos Andes e princi plmente onde existam camadas espessas de material argiloso
postos em planos que so muito escorregadios. Entretanto,
discomo
os sedimentos da cidade encontram-se sobre um escudo cristalino

de grande estabilidade,
a regio est inteiramente livre de
ssmicos violentos capazes de ameaar a estrutura do prdio
abalos
onde
se encontra o reator / 1 2 / .
c. Queda de Aeronaves
Outro tipo de acidente envolvendo causas externas ,

diz respeito ao possvel choque de uma aeronave com o prdio onde
se localiza o reator. A s probabilidades, embora mnimas, existem,
pois o Instituto de Pesquisas Energticas e Nucleares constante -
51
mente sobrevoado por aeronaves comerciais e helicpteros. A
es-
trutura em si no foi projetada para sustentar este tipo de choque.

Pesquisas realizadas pela "AEC Regulatory Staff" (USA) resultaram
no clculo das probabilidades de coliso de uma aeronave com estruturas cobrindo uma rea correspondente a uma milha quadrada
(2, 589 Km^).
Para tanto, foram computados, entre 1964
320 000 000 voos prximos a aeroportos,

envolveram acidentes.
1968,
sendo que destes,
3 993
Os resultados so mostrados
na Tabela 3.1
/19/.
Tabela 3.1 - Probabilidade de queda de avio em funo da distan cia do aeroporto.
Distancia do aeroporto
(Km)
Probabilidade de coliso
2
por Km - avio
32.0
10"^
1,6-3,2
5, 8
10~3
3, 2 - 4, 8
2,4
10"^
4, 8 - 6. 4
1,5
10'^
6, 4 - 8, 0
0, 5
lo"^
0 - 1, 6
O Aeroporto de Congonhas, atualmente e o
mais
prximo do Instituto de Pesqisas Energticas e Nucleares e locali za-se a uma distancia superior a 8, O Km. Portanto, a probabilida-
52
'
-8
de de uma coliso e menor que 0,5 x 10"
por Km - aviao. Supon
do uma rea crtica de 1 000 m^ englobando o predio do reator
tendo -se em conta uma mdia de 142 000 avies que decolam
aterrissam no Aeroporto de Congonhas (dado fornecido pelo Ministrio da Aeronutica), a probabilidade de choque com o prdio
do
reator de cerca de 6, 4 x 10"'^ por ano. Assim sendo, caso

trfego areo atual se mantenha no tempo, um choque deste
o
tipo
poder ocorrer em um intervalo de 1,6 milhes de ano, tornando-se

desprezvel considerar este tipo de acidente.
3.2 - A c i d e n t e
envolvendo
responsabilidade
do
op e
r ado r
Em um reator de pesquisa como o l E A - R l ,
grande
parcela da segurana est sob a responsabilidade dos operadores

(licenciados segundo a Norma Experimental CNEN-NE-1.01 editada
em setembro de 1979).
fundamental que se defina os tipos
de
falhas possveis de ocorrerem e valores numricos que permitam

quantifica-las. O Relatrio " H T G R
Progression
Analysis
Status
Accident
Initiation
R e p o r t ' ' / 1 8 / , coloca
seguintes hipteses bsicas para o clculo das taxas de erro
and
as
por
operador - ano:
a. O operador tem probabilidade zero de dar
uma
53
resposta instantnea;
b. Passado um certo tempo, a ao do operador no
mais afetar as consequncias do evento;
c.
Se o operador concluir que a primeira ao

insuficiente,
foi
poder tomar uma atitude no senti-
do de suavizar o evento;
A partir destas hipteses,
pode-se determinar
as
probabilidades de sucesso do operador atravs da equao 3.1 e da

Figura 3 . 1 .
Pos(t)= 1 - e - (t/MTOR)
(^q. 3.1)
onde:
t
= tempo permitido para ao do operador ou o intervalo de

tempo em que sua ao decisiva em dado evento;
MTCR
~ ^ media de tempo que o operador leva para ter xmia res

posta correta e pode ser descrito como o tempo
dentro
do qual 63% dos operadores treinados tero sucesso

ao. Devido s incertezas destes resultados,
de
Ps-
na
valor
Pos(^) jamais exceder o valor limite designado por
54
1,0
probabilidade
maxima de sucesso
do operador
63%
operadores com
sucesso
en
O
Ok
O, o
Tempo
IMTORI
FIG.
3.1 - Probabilidade de Sucesso do Operador em Hino
do
Tempo
Na busca de valores numricos que traduzam a probabilidade de falha dos operadores, vrias fontes bibliogrficas
fo-
ram consultadas. Estes dados foram coletados atravs- de experin cias realizadas em instalaes nucleares e so funo da percepo,
fatores emocionais, parte conceituai e comportamento motor
operadores. Segundo a Referncia / 2 4 / , as taxas de erro so
seguintes:
Tabela 3. 2 - Taxa de erro homem-ano em funo da atividade
Atividade
1. Erro de omisso do operador quan
Taxa de erro
homem-ano
dos
as
55
Tabela 3.2 - continuao
Taxa de erro
homem -ano
Atividade
do no existe nenhum anncio no

painel de .controle indicando
estado do item omitido, por exem

10-2
pio, quando houver falha no processo de retornar fielmente
condio anterior da vlvula
de
teste operada manualmente;
2. Erro de omisso^ onde os
itens
3
omitidos se referem intrnseca mente aos processos
x 10-^
envolvidos
do que aos resultados finais;
3. Monitor ou inspetor no reconhe_

ce um erro inicial cometido pelo
10-1
operador;
4.
Supervisor no detectou uma inde

sejavel posio da vlvula
nica durante a inspeo,
do-se a no existncia de
para confirmao;
meca
assumiu
lista
10-1
56
Tabela 3.2 - continuao
Atividade
Taxa de erro
homem âno
5. Demasiada nfase erros em geral quando atividades
0,2 - 0, 3
perigosas
esto ocorrendo rapidamente;
6. Operador falha em agir correta -
mente nos primeiros 60 segundos

sob condies de ocorrncia
de
- 1, 0
um grave acidente (ex. LOCA)

- aps 5 minutos
9, 0
10
-1
1
- nos primeiros 30 minutos
10'
- aps algumas horas
10"
Segundo a. referncia / 1 7 / , as taxas de erro so as

seguintes:
Tabela 3. 3 - Taxa de erro homem-ano em funo do evento
Evento
N? do
Evento
pessoa-reator
ano
Taxa de erro
homem-ano
Julgamento
47
6156
7, 6
10"^
Sequncia Incor
reta
40
6156
6, 5
10"^
57
Tabela 3. 3 - continuao
N9 do
Evento
Evento
pessoa- reator
ano
Taxas de erro
homem-ano
Erro Instrumen
tal
30
1368
2.2
10 - 3
Falha para res_

ponder
30
6156
4, 9
lo"^
3.2.1 - A c i d e n t e s
tos
sobre
devido
o
a possveis
ncleo
do
quedas
de o b j e -
reator
Um outro tipo de acidente possvel de ocorrer

est relacionado com o manuseio de material no sago da
que poderia resultar na sua queda sobre o ncleo. Este
piscina
material
pode ser classificado em dois grupos:

a.
Fontes radioativas ou no, antes ou depois
de
serem irradiadas e dispositivos que diariamente so retirados
recolocados nas proximidades, ou mesmo no interior do ncleo para serem irradiadas. Este tipo de material manuseado exclusivamente pela equipe de irradiao do reator;
b. Dispositivos utilizados para fins de pesquisa;
A queda de um objeto sobre um dos tubos de i r r a diao horizontal pode provocar sua ruptura e consequente
vazo
da gua da piscina. Este, poderia resultar em um dos acidentes de

maior gravidade, pois provocaria^ eventualmente^ a exposio dos ele
58
mentos combustveis,
contaminando e provocando a interdio
do
prdio do reator. Outra conseqncia de irnia queda inesperada de

um objeto sobre o ncleo, quanto a alterao dos elementos
na
placa matriz com o conseqente deslocamento das cmaras
de
deteco localizadas no ncleo que poderiam fornecer leituras in corretas.
3. 3 - A c i d e n t e s
causados
por
falhas
eletro-mecani-
cas
Este tipo de acidente pode ter como causas:

a. Queda de vazo do circuito primrio;
Esta, por sua vez, pode ter como origem uma
das falhas abaixo relacionadas:
a. 1 - Falha da bomba de circulao de gua
do
circuito primrio ( 1 circuito funcionando);

a. 2 - Falha simultanea das duas bombas de circulao de gua do circuito primrio (2 circuitos funcionanda);
a. 3 - Fechamento inadvertido da vlvula de isola mento VP-1 (ver Figura 2.4) do circuito primrio de refrigerao,
localizada entre a piscina e o tanque de decaimento;
a. 4 - Fechamento inadvertido da vlvula V P - 9 (Figura 2.4) do circuito primrio Iqcalizada na linha de retorno
gua
para a piscina;
da
59
a. 5 - Falha do suprimento de energia eltrica para as bombas de circulao primria;

A queda de vazo do circuito primrio durante
operao do reator, pode eventualmente levar a fuso dos elementos combustveis devido a falta de refrigerao e conseqente contaminao do refrigerante e do prdio do reator. No caso em
que
o sistema de " SCRAM" venha a ser acionado com sucesso
por
ocasio deste tipo de evento, h ainda o problema relacionado com

o calor residual remanescente. Entende-se por calor residual, aque_
le que permanece no ncleo por ocasio do seu desligamento. Quan
do a operao realizada com potncias inferiores a 200 KW,
sistema de refrigerao dispensvel,
pois a transferncia do ca-
lor feita atravs da conveco natural da gua na prpria pisei na. Para potncias superiores a 200 KW, a refrigerao
feita
atravs do sistema de refrigerao. Cada um dos dois circuitos pos

sui uma bomba acoplada a um motor para fazer circular a gua pe
Io sistema. Estas bombas so mvinidas de volante de inrcia respoii
svel pela continuidade da refrigerao mesmo que, por alguma razo, as bombas sejam desligadas. O tempo de ao destes volantes
de 80 segundos e este tempo suficiente para que a
potncia
ps-desligamento passe de seu valor mximo para um nvel inferior a 200 KW. A partir de ento o resfriamento feito por conveco natural.
60
b. Vazamento na piscina do reator

A piscina apresenta uma srie de dispositivos in
dispensveis a sua drenagem, pesquisas e irradiao de
materiais.
Estes dispositivos aumentam a sua vulnerabilidade no que diz
res-
peito a possveis vazamentos que em casos extremos, podem provo

car a exposio do ncleo do reator. A s possveis causas de vazamentos so:
b. 1 - Ruptura na placa de cobertura da coluna trmica e infiltraes atravs das paredes da piscina;
Trata-se de uma placa com aproximadamente 0,46
TC?
de rea, 2 , 5 4 cm de espessura,
construda em ao carbono. De-
vido aos cuidados tomados na sua colocao, improvvel que haja

vazamentos significativos. Por sua vez, as paredes da piscina
so
todas de concreto com barita que lhes conferem alta densidade
esto revestidas com placas de ao inoxidvel que eliminam pratica

mente todas as perdas por infiltrao.
b. 2 - Ruptura em um dos tubos de irradiao horizontais;
Nestes casos,
o maior dimetro de vazamento conce
bvel de 5, 08 cm. Os tubos de irradiao utilizados,
conduzem os-:
neutrons desde o ncleo do reator at os experimentos localizados

no primeiro andar do prdio do reator. Estes tubos so considera dos os pontos de maior vulnerabilidade neste tipo de reator.
Esto
61
localizados em posies que distam de pelo menos 20cm acima

cota inferior
da
dos elementos combustveis que, deste modo, perma^
neceriam imersos na eventualidade de um vazamento por um destes

tubos. Cada tubo possui um outro, coaxial e interno que lhe confere maior segurana contra vazamentos.
b. 3 - Ruptura em um dos tubos pneumticos
para
irradiao;
Os tubos esto dispostos em nmero de oito
nas
proximidades do ncleo do reator. Amostras colocadas em cpsulas

de alvimnio (coelhoa), so conduzidas por presso at o ponto
de
irradiao e retiradas aps o tempo programado pelo mesmo pro cesso,
sem que seja necessria a direta interveno de um tcnico
nas imediaes do ncleo. O rompimento de um destes tubos ( 0 =

3, 8 cm) altamente improvvel, devido a resistncia do material
de que so constitudos (ao inoxidvel). Possveis vazamentos
po-
rm, podem ser verificados atravs de uma cmara coletora

gua colocada junto flange de conejeo destes tubos com o
de .
vaso
da piscina.
b. 4 - Drenagem inadvertida do tanque de decaimiento;
O tubo de drenagem tem um dimetro igual a 10 cm
e uma abertura no programada da vlvula de fechamento desta tubu
lao pode provocar uma drenagem para o tanque de reteno
3
capacidade para 280 m , provocando o esvaziamento da piscina.
~_
. o c Ml i r i pARPS 1
com
A
62
abertura desta vlvula e indicada atraves de um sinal luminoso situado no painel de controle fiscalizado pelos operadores durante
operao. Desta forma, a irregularidade pode ser constatada rapidamente e prontamente corrigida. Esta vlvula encontra-se em local permanentemente fechado e o seu manuseio de controle r e s trito.
b. 5 - Ruptura de uma das tubulaes do
circuito
primrio;
A ruptura nesta tubulao pode provocar a queda de
vazo e consequente falha de refrigerao do ncleo. Este^ constitui-se no acidente teoricamente mais danoso, pois pode levar
fuso dos elementos combustveis. Para se ter uma idia sobre
tempo de esvaziamento da piscina,
foi realizado em 1978, por oca-
sio da reforma da piscina (troca de revestimento),
uma experin -
cia na qual se acoplou uma das vlvulas do circuito primrio du

as tubulaes,
uma com dimetro de 5, 08 cm e posteriormente uma-
segunda com 20, 32 cm. Foram marcadas a partir do nvel da gua

vrias alturas na parede da piscina
(de 50 em 50cm at uma pro -
fundidade de 2, 50 m) e atravs de um cronometro observou-se
tempo de esvaziamento quando a vlvula era aberta. Os resultados

desta experincia podem ser observados na Tabela 3 . 1 .
Considerando-se
tempo mdio de esvaziamento da
uma
piscina
altura
de 7 m de gua, o
de 3horas e 30 minu -
63
tos para um orificio de 5,08cm e de apenas 6 minutos

CO
para um orif
de 20, 34 cm.
Tabela 3.1 - Tempo de esvaziamento da piscina em funo do tempo

Nivel da agua da piscina
(metros)
Tempo de esvaziamento
0 = 5, 08 cm
0 = 20, 32 cm
0, 50
lO'OO"
0'15"
0, 50
1, 00
14'36"
1'09"
1,00
1. 50
15'32"
1'15"
1, 50
2, 00
15'10"
1'19"
2, 00
2, 50
16'09"
I'IB"
Total:
2, 50
lhll'02"
5'16'
Como.se pode observar, o tempo de esvaziamento

da piscina bastante reduzido para determinados orificios e
um
eventual acidente envolvendo o vazamento da gua, pode ter consequncias graves mesmo aps o desligamento do reator devido
presena do calor residual. Com a finalidade de se evitar a exposi

o do ncleo do reator, existe um tanque de reserva com capacidade para 600 m
de agua que atraves de uma tubulao e
ligado
parte superior da piscina. A partir do momento em que dois medidores de nivel da gua da piscina acusarem simultaneamente
um
64
abaixamento superior a 1, 2 m, o dispositivo de segurana e acionado e a gua lanada na piscina com uma vazo de 125 m^/h.
O tempo mnimo necessrio para que o ncleo
reator permanea coberto de gua aps o desligamento do
do
mesmo
depende do tempo e potncia em que esteve operando. Estudos
respeito deste assunto esta sendo desenvolvido atualmente atravs

da dissertao de mestrado intitulada " I n t e g r i d a d e
do
reator
gua
de
lEA-Rl
sua
na
ocorrncia
piscina" / ? / .
de
do
vazamento
ncleo
de
65
4. C L C U L O
DA
CONFIABILIDADE
4.1 - C o n s i d e r a e s
DOS
SISTEMAS
Gerais
O clculo da confiabilidade tem sido muito utiliza

do na indstria desde o incio do sculo e,
atualmente, uma gran
de nfase tem sido dada a este tipo de clculo devido a
sua uti-
lidade na preveno de acidentes e aperfeioamento dos equipamen

tos e sistemas.
A primeira etapa no estudo da confiabilidade
de
um sistema prev a definio do evento a ser analisado. A
par-
tir deste evento (por exemplo, a queda de energia eltrica
ou a
perda do fluido refrigerante no circuito de refrigerao do ncleo

do reator), uma rvore de eventos construda para anlise
quencial de acidentes. Esta sequncia definida entre outros,
sea
partir do projeto da instalao e processos operacionais. O passo

seguinte,
consiste em identificar qualquer possibilidade de varia-
o da sequncia estabelecida
evitando-se com
isto,
resulta -
dos inesperados.
A quantificao de uma
rvore
de eventos pode
ser feita atravs de vrias tcnicas como diagramas, rvores de
66
falhas ou mtodos fsicos de lgica. A tcnica mais comumente utilizada a da rvore de falhas que originalmente foi desenvolvida
pela " B e l l
Tlphone
L a b o r a t o r i e s ' ' em 1951,
tarde aperfeioada pla " B o i n g
C o m p a n y " , em 1960.
mais
A partir
de ento, esta tcnica tem sido empregada sempre com novos melhoramentos e aceita nos mais variados campos, entre eles
da
indstria nuclear.
O clculo da confiabilidade para um pequeno
nme^
ro de componentes de um sistema pode ser feito manualmente
por
processos analticos simples / 3 / . Quando porm, o nmero de com

ponentes grande, estes processos tornam-se complexos e impreci
S O S . Neste caso, devemos utilizar os programas de computao. A
tualmente existem quatro tipos principais de programas. O primeiro tem por objetivo a construo de diagramas lgicos e podem ser
citados como exemplos
/17/ e CAT/3/.
os cdigos D R A F T / 5 / , POWERS, TOMPKINS
O segundo tipo,
calcula o nmero de possibilida -
des de se chegar ao topo da rvore de falha, ou seja,
de quantas
maneiras a falha de cada um dos componentes atinge todo o siste ma. Como exemplo tem-se os cdigos PRER/26/,
ELRAFT
ALLCUTS / 2 5 / . O terceiro tipo de programa serve para

os clculos
numricos das arvores de falhas
a partir
dos fornecidos por um dos programas anteriores.
/21 / e
executar
dos
da -
Exemplos deste
67
tipo de programas so : KITT 1 e KITT 2 / 2 6 / .
Por fim,
existe
um quarto tipo que realiza os clculos de falhas por um processo

direto, por exemplo, os-programas ARMN / 1 4 / , SAFTE / 8 / , GO
/9/,
NOTED / 2 8 / , SAMPLE / 2 4 / utilizado neste trabalho, REDIS
/13/.
A s etapas de calculo so mostradas no esquema da

Figura 4.1,
SISTEMA
D ADO
Construo
do
dio gromo
CALCULO
Dl R E T O
N m e r o de
folhos
oo
nve! do
Sistema
(Ouoliratlvo)
FIG. 4.1
Etapas de calculo de uma arvore de falhas
L C U L O
N UM R I C O
(Quontitotivo)
68
4.2- Construo
das
rvores
de
Falhas
A partir do momento em que o evento selecionado para ser analisado, ele encabear o topo da rvore de falhas
originando ramificaes que iro compor o sistema
ser
quantificado e estudado. O exemplo, a seguir, ilustra como se cons

troi uma rvore de falhas. T r a t a - s e da anlise de falha do sistema de injeo de gua no interior do prdio de conteno de um
reator tipo PWR. O esquema ilustrativo pode ser visto na Figura
4.2.
No topo da rvore encontramos o evento a s e r e s

tudado : I n s u f i c i n c i a
injeo.
Este
de
gua
atravs
do
s i s t e m a de
sistema formado por dois subsistemas redion
dantes, A e B, o que significa dizer que, cada um deles capaz

de injetar suficiente quantidade de gua no interior
da conteno
coin a finalidade de retirar o calor dos gases oriundos do interior

dos elementos combustveis (eventualmente liberados por
de um acidente) e,
ocasio
consequentemente baixar a presso no interior
do prdio onde se localiza o reator. Portanto, necessrio
que
os dois subsistemas falhem para que o sistema fique comprometi

do. Desta forma,
fluxo
de
gua
o segundo nvel de eventos. I n s u f i c i n c i a

atravs
do
subsistema
de
Insufi-
69
cincia
B
de
fluxo
de
agua
atraves
do
subsistema
esto ligados ao topo por uma chave tipo " e " . No caso em
que os dois subsistemas fossem necessrios por ocasio de um

acidente, o segundo nivel de eventos estaria ligado ao topo por
uma chave tipo "ou". Tsto significa dizer que a falha deumdos
subsistemas acarretaria na falha do prprio sistema.
A rvore de falhas, em sentido descendente,
i-
dentifica novas ramificaes cuja finalidade o de alcanar
as
causas de falhas dos subsistemas em sua forma mais simples. A

insuficincia de gua atravs do subsistema
" A " pode ter como
causa a insuficincia de gua ou ruptura do dispositivo de asper

so, o entupimento dos orificios que injetam a gua na conten o ou a falha deste subsistema devido a elevao demasiada da
presso no interior do prdio.
Os eventos representados por um circulo e por

um losangulo so ditos "bsicos" e portanto, no ocorrem
por
determinao de outros eventos. O circulo representa a taxa

falha de um componente na sua forma simples, enquanto
de
o losan
guio representa um evento que por insuficincia de informaes

adicionadas ou pela existncia de novos niveis sem relevancia
anlise,
so excluidos do estudo em questo. O retngulo identi
70
fica na arvore um evento mais genrico e que devera ser desdo brado em novos niveis na busca de causas mais especficas.
FIG. 4. 2
Exemplo de construo de uma arvore de falhas

I nsuf i c i e n c i q
de guo o t r a v s
do s i s t e m a de
inieo
Insuficie ncia
de guo no
subsistemo " A "
1. R u p t u r o
do d i s p o s i t i v o
de
2. I n s u f c i n c i o
de guo
3. Entupimento
dos o r i f i c i o s
poro
osperso
o disposivo
de
4. Presso do c o n t e n o s u f i c i e n t e m e n t e
o e f i c i n c i o do o s p e r s o
4. 3 - E s t u d o
sobre
de osperso
injecoo
tipo
de
elevodo
poro reduzir
falhas
em
componentes
bsicos
As
falhas nos componentes bsicos de uma arvore
71
podem ser classificadas em 3 diferentes categorias:

a) Falha primria;
b) Falha secundria;
c) Falha de comando.
A falha primria em um componente a que
o-
corre quando o componente est operando dentro de suas funes

e limites de projeto. a chamada f a l h a
aleatria.
fa -
lha secundria ocorre quando um componente falha devido a causas que excedem a sua tolerancia de projeto. Por exemplo,
um
componente pode romper-se devido a uma presso excessiva no

seu interior oriunda de um problema no sistema. A terceira ca-:
t ego ria no envolve diretamente a falha de um componente
em
particular, mas sim, o fato que este componente no cumpre as

suas funes corretamente por falta de condies.
Por exemplo,
a falha de um componente em injetar gua para dentro do

dio de conteno se,
no momento em que foi solicitado,
pr-
houver
insuficincia deste lquido devido a ruptura de uma vlvula
e a
consequente falta de gua no tanque que o precede. Portanto, no

houve
uma. falha direta do componente em si,
e sim falta de con
dies de atuar no momento exigido devido a uma falha anterior.
As duas primeiras categorias so tratadas em geral da mesma forma, pois em ambos os casos haver a falha do
72
componente e a contribuio para a probabilidade de falha total

do sistema ser igual.
4.4 - C o n d i e s
de
Operao
Na construo de uma rvore de falhas, no bas

ta a colocao apenas dos dispositivos atuantes normalmente na
operao dos sistemas que resultam na operao de \mia instala
o. fe preciso que se conhea as condies de operao no seu
sentido mais amplo para que todas as possibilidades de funciona
mento do sistema sejam analisadas e englobadas rvore de falhas. Como exemplos podem ser citados: a necessidade de
-um
circuito de refrigerao redimdante " B " ser colocado em operao em caso de uma falha no circuito " A " ou a necessidade do
motor diesel ser acionado quando houver um corte de
energia
no programado.
Portanto, os sistemas,
subsistemas e componen-
tes podem assumir vrias condies de operao conforme exigirem as situaes,
sendo que, cada vima delas vai depender
procedimento da operao, dos processos fsicos,

dies de falhas.
4.5 - S u b r v o r e s
do
tempo ou con-
73
Muitas vezes impossvel mostrar-se uma rvore de falhas completa em apenas uma folha de papel e por esta
razo ela pode ser subdividida em subrvores. O smbolo do cr
culo no interior de um losangulo em algumas rvores indica que
uma subrvore foi desenvolvida para aquele evento
separadamente,
ou seja,
temente e pode, portanto,

partes,
analisada
a subrvore foi considerada independen

ser tratada separadamente das outras
como uma espcie de componente,
sendo que o resulta-
do desta subrvore pode ser considerado como um dado de en trada para a rvore que o precede.
4. 6 - L i m i t e s
Analticos
rvores
de
Sintetizao
de
uma
Falhas
Com o fim de se analisar um evento qualquer ,

uma rvore de falhas pode ser estendida quase todos os nveis
de detalhamento desejados. Via de regra,
qualquer evento,
dire-
to ou indiretamente relacionado a um sistema ae falhas, pode ser

mostrado em uma rvore de falhas. Para que isto ocorra, mui tas vezes,
a melhor maneira atravs da subdiviso do sistema
em vrios subsistemas para possibilitar um melhor exame
dos
eventos.
Com o objetivo de se sintetizar ao mximo poss
74
vel uma r v o r e de falhas,

objetivo,
visando um estudo m a i s s i m p l e s
n e c e s s r i o que s e ' o b e d e a m c e r t a s r e g r a s .
Estas r e
g r a s v a r i a m c o n f o r m e o objetivo dos estudos e do grau de c o m plexidade dos s i s t e m a s .
Em determinados c a s o s , p o d e - s e despre^
zar as causas secundrias que do o r i g e m as falhas,
analisar
c e r t o s subsistemas c o m o componentes de outros subsistemas i n dependente do projeto que o s define, d e s p r e z a r - s e elementos cu

ja contribuio no resultado final da anlise s e r i a m insignificantes aos resultados e p o r fim, levantar-se hipteses que sintetizem o estudo s e m causar mudanas significativas nos resultados da
anlise.
4.7
Modo
de f a l h a
comum(Common
mode
failurej)
um m e c a n i s m o pelo qual um nico evento b s i c o

pode resultar
na inoperncia de equipamentos redundantes.
Este e
vento b s i c o pode t e r o r i g e m externa ou interna ao sistema

p r o t e o da central.
de
A l m das falhas p r p r i a s dos c o m p o n e n t e s ,
e r r o humano, t e s t e s e manutenes, h uma s r i e de fatores co_

muns c o m o ambiente,
t e r v e n o humana.
projeto, p r o c e s s o de manvifaturao e i n -
A identificao de falhas deste tipo e m a i s di
fcil do que as falhas aleatrias e desta f o r m a aconselhvel o

uso de o u t r o s mtodos c o m o o de canais de p r o t e o alternativos
que apresentem v a r i v e i s diferentes dos canais p r i m r i o s ,
uso de equipamentos diferentes
ou o
destes, ou, ainda, a combinao des_
tes mtodos / 1 8 / / 1 9 / ,
INSTITUTO
DE P E S Q U
S A S E v E R G T i C S
I.
P. E. N.
NUCLEARES
75
5. Q U A N T I F I C A O
5.1 - D e f i n i e s
DAS RVORES
DE
FALHAS
Bsicas
Os parmetros abaixo relacionados so utilizados

no clculo de confiabilidade dos sistemas :
a. C o n f i a b i l i d a d e
- a probabilidade de que
um sistema executar suas funes normalmen

te, sob condies especficas, por um perodo de
tempo pr-determinado.
b. D i s p o n i b i l i d a d e
- a probabilidade de que
um componente ou sistema estar operando du

rante um certo tempo quando for solicitado.
c. T a x a
de
falhas(/\)-
o nmero espera-
do de falhas de vim componente ou sistema em

um intervalo de tempo.
d. T e m p o
mdio
para
r e p ar o ( T MP R )'-
a mdia aritmtica dos tempos requeridos para

completar uma atividade de reparo.
e. T e m p o
mdio
entre
falhas(TMEF)
a mdia aritmtica dos perodos entre

falhas consecutivas.
duas
76
5. 2 - C o n s i d e r a e s
As
Gerais
rvores de falhas so construdas para servi-
rem de base na quantificao da evoluo das sequncias
de fa -
lhas dos eventos dos sistemas de segurana a serem estudados. A

anlise quantitativa de uma rvore de falhas tem dois
objetivos
principais : o primeiro, o de se obter uma estimativa da magni

tude ou da ordem de grandeza da probabilidade de falha de um de
terminado sistema; p segundo objetivo, o de fornecer uma esti
mativa dos erros e seus intervalos de variao associado aos cal
clos probabilsticos. A necessidade do conhecimento da estimativa dos erros advm da incerteza sobre os dados
de entrada e _a
plicao para uma determinada instalao.
Na quantificao das rvores de fallas, o valor da

confiabilidade e da disponibilidade dos sistemas podem ser obtidos
a partir de equaes de confiabilidade padronizadas. . A cada componente bsico, ou primrio, atribudo um determinado parmetro, como por exemplo a sua taxa de falha. A este parmetro
associado vim fator de erro que permite tratar o valor da taxa de

falha no como um nmero fixo e sim como uma varivel aleat ria. Com isto, o resultado de uma anlise de riscos gerada na
forma de uma distribuio de probabilidades.
77
A distribuio probabilistica
geral,
"Log-normal" e, em
a mais utilizada neste tipo de clculo e suas vantagens so
apontadas no item 5. 8.
Quanto a quantificao dos sistemas e seus
resul
tados pode-se dizer que esto baseados fundamentalmente em cinco itens :

a. As anlises so supostas normais e seguras an
tes do incio do evento a ser estudado;
b. A ordem de distribuio dos resultados
deve
incluir as incertezas dos dados de entrada de vido a variao dos m e s m o s , de

para componente nas instalaes,
componente
e devido
as
condies ambientais ps-acidentej

c. A quantificao dos sistemas deve basear-se na
forma pela qual a instalao operada. Estes
dados so encontrados no Relatrio Final de A
nlise de Segurana, especificaes tcnicas e
manuais de procedimentos da instalao;
d.
A contribuio dada pelos testes,
manuteno
e falhas humanas devem ser consideradas em

adio aos dados inerentes aos componentes;
e. Para certos valores, a distribuio exponencial
deve ser usada para o tempo de falha. O
uso
78
.desta distribuio,
como se ve
mais
adiante ,
conduz a resultados mais precisos dos clculos

das probabilidades.
5. 3 - c l c u l o
aproximado
das
As rvores de falhas,
rvores
de
falhas
alm de representar as di-
versas maneiras pelos quais um sistema pode falhar, proporcio nam uma base para um estudo quantitativo atra'''es de uma funo
que deve se aproximar o mximo possvel da realidade.
Basicamente,
a anlise quantitativa consiste
na
determinao das probabilidades de falhas de cada um dos componentes primrios e,

mas,
a partir de ento, uma combinao das mes-
at obter-se a probabilidade do evento situado no topo
da
rvore de falhas. A aproximao feita atravs do uso de uma funo,
apresenta certas limitaes na execuo da anlise e na in -
terpretao dos resultados. Estas limitaes esto diretamente ligadas a maneira pela qual as rvores so construdas,
na adequa
o dos dados e na natureza binaria do modelo de faUias.

Sob o ponto de vista construtivo das rvores, p o de haver omisso de modos de falhas que, individualmente ou em
conjunto, trariam uma contribuio significativa aos resultados .
Isto ocorre, em geral, em sistemas complexos onde o nmero de
possibilidades
grande. Os resultados, por sua vez, no se limi
79
tam a um nico valor, e sim, a uma distribuio de probabilidades.
Se por um lado a finalizao do problema no
definida,
por outro
permite uma flexibilidade maior
totalmente
na anlise
dos resultados dependendo do grau de confiabilidade nos dados de

entrada e no modo pelo qual o sistema est operando.
Com relao aos dados bsicos,
a quantificao
proximada obedece dois aspectos principais : o primeiro, no que

se refere a deficincia de dados, limitando assim a preciso dos
parmetros utilizados na anlise. Isto significa dizer que, sendo o
nmero de dados insuficientes,
maior ser a incerteza sobre
resultados, apresentados pela anlise.
os
O segundo aspecto envolve
os nveis de falhas para o qual os dados se destinam. Uma rvore precisa ser construda de tal forma que os detalhes apresentados no sejam maiores do que os dados disponveis. p r e c i s o ,
pois, que haja um compromisso na construo das rvores
entre
os dados bsicos e os nveis de falha visando uma maior adequao dos resultados. O terceiro aspecto que limita a quantificao
o modelo binario de falhas, isto , o tratamento dos componen
tes como estando em mrx estado de falha
ou no falha. O aspec-
to relacionado com as falhas parciais no so tratados neste tipo

de clculo. Falhas parciais so consideradas parte de um estado
faltoso ou como sucesso.
80
A partir destas consideraes bsicas,
a arvore de
falhas pode ser quantificada. A probabilidade de que um evento pos

sa ocorrer dado como a soma da no disponibilidade com a pro
habilidade de falhar por
ocasio
se
sua operao.
Uma destas
contribuies pode prevalecer sobre a outra ou as duas terem
mesmo peso. A partir de ento so computadas e a total probabilidade pode ser incorporada na sequncia de acidente apropriada.
5.4 - l g e b r a
Booleana
Teoria
das
Probabilidades
As rvores so construdas na forma grfica
a-
travs do uso de chaves tipo " o u / e " para mostrar a relao entre os vrios modos de falha de um sistema.
Para facilitar esta
anlise,
conveniente representar estas rvores na forma mate -
mtica
e a algebra booleana a maneira mais apropriada
para
este proposito. A partir desta representao torna-se possvel

aplicao das leis da probabilidade . Para melhor
deste item, o mesmo ser
5.4.1-
lgebra
subdividido em dois,
entendimento
como segue :
Booleana
Na lgebra booleana aplicada as rvores de falhas,

cada chave e representada por um sinal de operao. A chave"ou"
81
equivalente ao sinal
e representa a unio dos eventos liga-
dos a chave. Por sua vez,
a chave "e" equivalente
ao sinal
' . ' e representa a interseco dos eventos. Por exemplo, se um

evento " B " definido por tuna chave do tipo "ou" com duas
en
tradas, A^^ e A^, a equivalente expresso booleana ser B=Aj^ + A^.

Tanto a chave "ou"como a chave "e" podem ter um nmero de en
tradas indefinidas.
A Figura abaixo ilustra a equivalncia de uma
chave e a correspondeste expresso :

Chave "ou"
B=A^+Ag
Chave " e "
B = A i . A
Na chave "ou" e suficiente que apenas uma das

entradas ocorra, ou seja, que um dos componentes ou subsiste mas falhem para que os eventos continuem em direo ao topo da
rvore. Na chave "e" , no entanto, necessrio que todas as en
tradas falhem para que haja a continuidade da anlise. Por exem_
pio,
se um sistema possui duas vlvulas em srie montadas
em
um conduto que serve um sistema qualquer. O defeito em uma des

tas vlvulas pode resultar na falha do sistema. Portanto, a repre
sentao com a chave "ou" a mais apropriada j que a falha de
qualquer uma das vlvulas implicar na falha do sistema.
Por ou-
82
tro lado, se estas vlvulas estiverem em paralelo e apresentarem

a mesma funo no sistema,
a chave "e" a mais apropriada po-
is seria necessrio que as duas vlvulas apresentassem defeito para que o sistema viesse a ter problemas.
Com o objetivo de simplificar as expresses,
vlidas as seguintes leis da lgebra booleana :
a)
b)
c)
Identidade
1.
A + A = A
2.
A .
= A
Distributiva
1.
A . (B + C)
= ( A . B) + ( A . C)
2.
A + ( B . C)
= (A + B ) .
Lei
da
(A + C )
absoro
1. A + ( A . B ) = A
2. A . ( A . B )
= A.B
A partir destas propriedades, qualquer rvore de

falhas pode ser analisada sob outra forma representativa,
quivalente. A rvore a seguir ilustra o que foi dito:
mas e-
83
= 1 C 3
=1
As expresses so ;
a)T
A2
(Exp.
1)
+ C2
(Exp.
2)
(Exp.
3)
= Al .
b)Ai=
c)A2=
C 3
Substituindo as expresses 2 e 3 na expresso 1

T
= (C^ + Cg) .
(C^ + C 3 )
(Exp.
4)
Utilizando as leis da algebra booleana, a Expresso 4 simplifica-se

tal como segue :
T
= C j + (Cg .
Cg)
(Exp.
A expresso 5 pode ser assim representada :
5)
84
5 . 4 . 2 - Leis das Probabilidades
As expresses lgicas vistas no item anterior, mos^

tram as relaes existentes entre dois ou mais eventos.
O presen-
te item tem por objetivo transformar as expresses lg:icas em expresses aritmticas que traduzam as probabilidades de falha
sistemas.
Para tanto, necessrio,
inicialmente,
conhecer-se
dos
as
leis bsicas de combinaes probabilsticas :
a) U n i o
-
Expresso lgica : C = A + B
Expresso Probabilstica :
P(C)
Para
= P ( A ) + P ( B ) - P ( A . B)
P(A.B)
P ( A ) + P { B ) temos a E
presso reduzida
P(C)
= P(A) + P(B)
85
b) I n t e r s e c ao
- Expresso lgica : C = A .
- Expresso probabilstica :
P(C)
= P(A).P(B)
(A e B so even
tos independentes)
P{C)
= P(A). P(B/A)
(A e B
so
eventos dependentes)
No caso da unio, para valores de
probabilidades
pequenos, podemos ntilizar a expresso reduzida sem alterar signi

ficativmente o resultado final. Esta aproximao aplicvel quando P ( A ) . P ( B )
menor que o valor da
dles. Na interseco,
probabilidade de cada um
P ( B / A ) representa uma probabilidade con
dicional do evento " B " ocorrer) se e somente se o evento " A " ti ver ocorrido.
As leis podem ser usadas com sucesso na determinao das probabilidades de
falha de um sistema. A partir das pro
babilidades dos eventos primarios ocorrerem, determina-se as possibilidades dos eventos secundrios ocorrerem. Utilizam-se sempre
a mesma tcnica at que o evento colocado no topo da arvore' seja
alcanado.
86
5.5 - U t i l i z a o
dos
dados
Como foi visto anteriormente,
a probabilidade
de
que um componente comprometa o funcionamento do sistema, pode

ser classificada de duas maneiras distintas. A primeira,
diz respeito
a no disponibilidade
no que
do componente ou subsistema
quando exigido e a segunda devido a uma falha apresentada durante

a operao. Estas probabilidades sao computadas atraves da
taxa
de falha.
A taxa de falha de um componente
"ô " o n
mero que indica o valor mdio de falhas por unidade de tempo
" A d t " a probabilidade de falha do componente entre o tempo "t"

e "t + dt " . Para o clculo da no disponibilidade de um componen
te ou subsistema devido a ocorrncia de testes,
paros,
usamos a taxa de falha "-^g" e
"/l gdt"
finio que a do caso anterior. Em alguns casos,
manutenes ou re
tem a mesma de^,
difcil distin -
guir qual das taxas de falhas melhor se adapta ao evento. o caso das falhas passivas como, por exemplo, a ruptura de um conduto ou vlvula. Quando isto ocorrer, usa-se a mesma taxa para am bos os casos.
Por fim existe um ltimo tipo de falha que precisa
ser mencionada. Trata-se da probabilidade de falha por demanda ou
ciclo,
so falhas envolvendo mudanas nas condies de operao .
87
Como exemplo, pode-se citar a falha de uma bomba funcionar em

certo momento, a falha de
casos,
uma vlvula em fechar,
etc.
Nestes
representamos as probabilidades de falha por "Qd".Ao con-
trrio das taxas de falhas,
"Qd" no funo do tempo e sim uma
funo de demanda.
Todos os dados de entrada para o clculo das probabilidades so valores mdios de falha e, por esta razo,
esto
sempre associados a um fator de erro. Este fator apresenta

faixa
de variao que depende da maior ou menor certeza
lor da taxa de falha. Por exemplo se esta taxa diz respeito
uma
do vaa um
componente cujo desempenho muito conhecido, o fator de erro po^

de assumir o valor trs. Ao contrrio,
mentos sobre o mesmo componente
se existem poucos conheci-
e sobre as suas condies
de
operao, o fator de erro pode assumir um valor at dez vezes ma

ior.
Em geral,
as taxas de falhas e probabilidades de de
manda podem variar com o tempo e com a demanda. Assumindo-se

que os testes, manutenes e verificaes obedeam uma certa regularidade,
constantes.
supem-se que as taxas e probabilidades de falhas sejam

Qualquer incorreo que isto venha a acarretar, cobe
ta pelo fator de erro. Quando porm, condies ambientais extremas
--
"^TTTTR^ ic S E NUCLEARES
INSTITUI o DE PESQU S A S t ^ U - R ^ _
88
ou irregulares venham a existir , os dados de entrada devem ser

analisados
profundamente.
Os dados so usados, via de regra, para interva los de tempos mensais por coincidirem,
em geral,
com o tempo
de manuteno e testes. O fator de erro ajuda a cobrir as varia es que eventualmente possam existir.
Quando os intervalos soin
feriores a um ms, conveniente expressar as taxas de falha como uma funo horria.
5. 6 - P a r m e t r o s
usados
para
testes
manutenes
A contribuio dada pelos testes e manutenes pa ra anlise de risco,
depende se o procedimento feito em linha
se afetam ou no a operao normal dos sistemas envolvidos. Quan

do possvel,
os parmetros exigidos nas anlises s o : as frequn -
cias e a mdia de durao dos testes e manutenes , alm da durao das falhas quando detectadas. A frequncia dos testes em com
ponentes pode ser obtido em manuais de especificaes tcnicas
da
central analisada. O intervalo usual dos testes geralmente mensal,

mas
certos componentes so testados mais ou menos frequentemen
te. A mdia de durao dos testes so determinados a partir de especificaes e experincias e os desvios cobertos pelo fator de erro.
89
Os limites,
superior e inferior de tempo utilizado
nos clculos das probabilidades dado, respectivamente,

do o
como sen
mximo intervalo de tempo que o componente pode ficar ino-
perante e o intervalo usado para simples verificao. Quando este

valor no est contido nas especificaes tcnicas,
patvel
vrai valor com-
com a experincia deve ser utilizado.

Se um componente est fora de operao durante os
perodos de testes, o valor numrico de sua contribuio dada pe

Ia seguinte equao :
Q =
Eq. 5.1
t
onde :
"^d"
^ ^ mdia de tempo em que esteve parado;
"t"
o intervalo mdio entre os testes.
Se o componente no desativado do sistema durante os testes,

valor de " Q " desprezvel.
de 1 ms e O, 72 horas,
Em gerai "td e t" assumem valores
respectivamente.
Uma contribuio adicional,
a partir dos testes, sur
ge quando o componente ou subsistema redundante e ensaiado aps

a deteco da falha do outro. Neste caso, o valor da equao :
Q =
onde
Eq. 5.2
a taxa de falha do componente ou subsistema que estava funcionando e "td", a mdia do tempo de testes para
o novo componente do sistema.
90
Para miltiplos testes,
quando varios componentes
so ensaiados fora da operao norma.!, o valor de "t^j" representa o mximo dos tempos individuais de cada componente. Quandodo
is componentes redundantes no podem ser ensaiados juntos,
exclui-
se a possibilidade de se colocar na rvore de falhas a chave "e".
Para o caso de manutenes peridicas,
o valor nu
mrico da contribuio dado por :

^d
Q =
onde :
Eq. 5. 3
o tempo parado associado a manuteno e

"^m" ^ intervalo mdio de tempo entre duas
manuten -
es.
Quando porm, as manutenes forem feitas sem pe^
rodos definidos,
a equao anterior assume a seguinte. forma :

^d
'
Q =
Eq. 5.4
~t
onde : " t " a mdia de tempo entre as manutenes. Esta equa o pode ser escrita da seguinte maneira :
^^d
Q =f
Eq. 5 . 5
720(h/ms)
onde :
f = 1/ t
(meses
) .
91
5. 7 - F a l h a
Humana
Durante a operao, um operador pode cometer e

ros de omisso ou mesmo de atuao ao ser solicitado. As proba^
bilidades de falhas humana so tratadas em termos de taxas de fa^
lha. No caso de um ato especfico,
como por exemplo, o
fecha -
mento de determinada vlvula, o ato tratado como uma demanda.

Por sua vez, para atos inadvertidos como o de desligar o circuito
de refrigerao por ocasio de um acidente, o ato tratado de mo
do anlogo a uma falha.
Devido a redundancia existente na maioria dos sistemas de segurana, o operador exigido multas vezes a tomar a
mesma atitude duas vezes(por exemplo, fechar duas vlvulas emcir
cultos redundantes ) .
A probabilidade que realize duas ou mais o-
peraes incorretas maior do que as probabilidades .independentemente associadas.
Desta forma,
para estes casos,
atos combinados
so tratados como uma nica falha.

A taxa de erro vai depender tambm,
do tipo de si
tuao enfrentada. Imediatamente aps um grande acidente, a taxa de

erro bem mais elevada que para uma situao normal onde o operador
pode refletir mais e agir com m.aior cuidado frente ao evento.
A quantificao das falhas humana foi objeto de considerao na Seco 3. 2.
92
5.8- T c n i c a s
de
calculo
distribuio
Log-nor-
mal
Como vimos nos itens anteriores, os parmetros

utilizados neste tipo de anlise,
dades de dememda, etc,
isto , taxas de falhas, probabili
so tratados como variveis aleatorias
no como valores constantes. Ainda que os dados usados na construo das rvores estejam baseados em vrias centrais e tipos di
versificados de instalaes, as probabilidades geradas tem por obje^
tivo uma nica central. Desta forma,
uma distribuio de probabi-
lidades se faz necessria para informar sobre as incertezas dosre

sultados obtidos. A distribuio, tambm conhecida como
densidade ou frequencial,
dada em termos probabilsticos
funo
assim
como as probabilidades de ineficcia dos sistemas. Em outras pala

vras, pode-se dizer que o programa calcula a probabilidade das pro
babilidades. Portanto, a distribuio fornece a probabilidade de que
a ineficcia de um sistema seja um determinado valor no interior de
um intervalo. Tanto menor ser este valor para centrais
condies
de operao, testes,
onde as
manutenes, formao pessoal, etc,
forem realmente satisfatrias.

Como colocado, o intervalo de distribuio dos dados
representam a entrada bsica para o tratamento das variveis aleat rias. Este intervalo representa a regio na qual os dados podem pre
ferencialmente
se
encontrar. Por exemplo, um intervalo para
93
taxa de falha representa a regio na qual ela poder ser encontra^

da. A ilustrao a seguir mostra este raciocnio para
uma
taxa
qualquer "/l " de um componente.
intervalo de variao de
A linha horizontal inteira

intervalo de todas as possibilidades de
ras verticais,
"
representa a exteno do
A regio entre as bar-
representa a parte do intervalo em que existe a ma-
ior probabilidade de "/l " ser encontrado.
A distribuio Log-normal foi a escolhida para des_

crever este intervalo. Esta distribuio frequentemente usada em
modelos de aplicao quando fatores ou porcentagens caracterizam
as suas variaes. Se "x" representa uma varivel aleatria
pode variar em um intervalo cujos limites so X g / f e
X Q Vim
que
X g . f , onde
ponto mdio referencial e "f" um certo fator, ento ,
Log-normal a ser utilizado para representar este intervalo,
o
um
candidato natural. Quando "x" expresso na forma logartmica, os

valores de X q /
X Q . f so assim expressos :
log X Q +_ f
representa um modelo de distribuio para uma varivel

mente distribuda.
que
normal-
94
A distribuio Lxjg-normal e, portanto, l u n a distri

buio "natural" para dados que podem variar atravs de vna f a tor da mesma forma que
uma distribuio normal natural quan
do OS dados podem variar por adio ou subtrao de incrementos.

- y
Se a taxa de falha e expressa por 10
, onde "y" e um valorqual
quer, a descrio dos dados como tendo uma distribuio Log-nor^

mal equivalente a descrever o expoente como tendo uma distribu
io normal. O uso do Log-normal pode, portanto, ser interpretada como possuindo o expoente como a varivel significativa do problema. Para o expoente,
a distribuio tida como normal, enquan
to para o dado real, a distribuio Log-normal.

Este tipo de distribuio usado por sua flexibilida
de, consistencia com relao as propriedades da teoria da confiabilidade e pelo seu emprego sem a necessidade de hipteses iniciais.
Para um particular intervalo de variao, o valor mximo da dis tribuio(limite superior) definido como 95% dos valores calcula dos e do inferior,
%. Este clculo executado pelo cdigo
SAM-
PLE descrito no Apndice A.
A prxima seco caracteriza a forma de distribuio Log-normal e suas propriedades.
93
5.8.1 -
Propriedades
da d i s t r i b u i o
Log-normal
a) Funo densidade de probabilidade

1
exp
f(x) =
~\/2Xf
onde
Cx
lLx_;i^)__
so parmetros caractersticos da distribuio
b) Moda (valor mais provvel)
c) Mediana da distribuio
O, 5
d) Mediana em funo dos limites superior e inferior
O.
onde:
Xj^ o valor
correspondente ao limite superior (95%)
X j ^ o valor
correspondente ao limite inferior
( 5%)
96
e)
Meio
2
X = e
f)
Variancia
2,
y2
5.9 - P r o p a g a o
do
V = e
erro
pelo
mtodo
de
Monte
Cai>
Io
A utilizao da tcnica de Monte Cario empregada

no clculo da propagao do erro fornece resultados quase exatos.
Cada valor que aparece como entrada na expresso booleana, ad vm da taxa de falha obtida a partir de uma distribuio Log-normal.apropriada desta amostra. Os valores assim obtidos so usados
para computar um valor caracterstico do evento (clculo da rvore
de falhas). Este processo repetido para uma grande quantidade de
tentativas com o objetivo de se obter uma distribuio de probabilidades da rvore de falhas estudada. Neste estudo, 1200 tentativas foram feitas para cada expresso. Este valor tido como razovel e
suficiente para assegurar uma preciso de cerca de 1% na computao de 90% do intervalo de distribuio do sistema.
Como resultado desta distribuio, obtem-se a m e -
97
dia da distribuio alem do prprio intervalo de probabilidades entre 5% e 95%. Esta mdia, no entanto, no digna de crdito to tal, pois,
em 90% dos casos,
as probabilidades de ineficcia
sistemas podem estar abaixo deste valor. Visando um

mais segxoro, um valor medio da distribuio,
dos
resultado
o mais adequado,
pois significa que existe a mesma probabilidade de que o sistema

falhe 50% acima e 50% abaixo deste valor.
98
6 . ARVORES
DE F A L H A S
DO R E A T O R
lEA-Rl
RE S U L T A D O S
6. 1 - C o n s t r u o
A operao do reator lEA-Rl baseia-se

sistemas principais,
em trs
ou sejam, o Sistema de Instrumentao
Controle, o Sistema de Refrigerao e o sistema responsvel pe

Io fornecimento de energia eltrica.
Para cada um deles, foi cons
truda uma rvore e falhas composta por seus elementos bsicos.

Para evitar que as arvores analisadas apresentem dimenses exa
geradas e,
devido ao seu carter binario, usou-se tabelas-verda-
des em alguns casos,
para auxiliar na elaborao das
equaes
booleanas.
Os eventos primrios esto registrados na Tabela

6 . 1 . Cada evento est acompanhado da sua taxa
de falha e de seu
fator de erro. Estes valores foram obtidos a partir do R e l a t o rio

tema
Rasmussen
de
/ 19/, da dissertao de mestrado : " 0 S i s -
Controle
Potncia
bilidade"
Zero
do
Instrumentao
l E A e
clculo
do
de
Reator
sua
/ 1 6 / . ^ diretamente das especificaes
de
Confiatcnicas dos
componentes.
Como se viu anteriormente, o reator pode ser des-
99
ligado automaticamente ou manualmente atraves da insero rpida das barras absorvedoras no ncleo do reator. Isto deve ocor rer
sempre que alguma
irregularidade seja constatada durante
operao. A partir disto,
resolveu-se que o evento mais significa
tivo a ser colocado no topo das rvores de falhas deste reator, se

ria o relacionado com a falha no desligamento rpido
do
reator
(SCRAM). Estudou-se ento, os possveis eventos dentro de

um dos sistemas e as consequncias at
cada
chegar ao topo da rvo-
re.
preciso,
antes de mais nada, que duas conside-
raes sejam feitas: os resultados para cada r^-ore elaborada devem ser analisados conforme a funo do sistema dentro da operao do reator. Portanto, a probabilidade de falha de um componen
te no circuito primrio deve ser encarada como a possibilidade de
ocorrncia de um acidente mais grave do que a mesma probabilida
de para nma. falha no circuito secundrio. Isto ocorre, porque
gua que circula pelo circuito primrio est em contato direto com
o ncleo do reator. A falha em um dos ventiladores da
torre
de
refrigerao do circuito secundrio, por exemplo, pode determinar

o desligamento do reator por uma questo de precauo mas,
ja-
mais por comprometer em um curto espao de tempo, a operao.

Desta
forma,
os resultados no devem ser interpretados como u-
ma probabilidade de possveis acidentes graves em todas as alternativas descritas nas rvores, e sim, como a probabilidade de que
V,
, R'^MC S E NUCLEARES
100
a operao no seja interrompida quando, algum evento estranho
operao, ocorrer.
A segunda considerao a ser feita diz respeito
rvore que representa o Sistema de Instrumentao e Controle. Ao

contrrio dos outros, no foram colocadas as causas que determinam a ao dos canais qu asseguram uma operao normal
do
reator. Esta ao decorre da dificuldade de se obter, por exemplo,

as taxas de falha
de um elemento combustvel. Estas causas
es^
to diretamente ligados ao funcionamento do ncleo do reator. Deve-se,
portanto, interpretar-se os resultados desta anlise,
como
a probabilidade de falha dos componentes relacionados com a med_

da de reatividade do ncleo.
Na elaborao e clculos das rvores levou-se
em
considerao:
a) Falha humana
A partir do instante em que o reator fica crti-
CO, ele tem condies de funcionar automaticamente ate o momen to de ser desligado.
Mesmo assim,
dois operadores permanecem
na sala de controle e so capazes de constatar alguma possvel irregularidade na operao, quer atravs de alarmes sonoros,
quer
por sinais luminosos dispostos nos painis de controle. Portante^ o

operador pode ser levado a pressionar os dispositivos de desliga
mento rpido do reator independentemente do circuito automtico.

Esta anlise esta representada na Figura 6. 6 e Tabela - verdade 6. 6.
101
No que diz respeito ao operador, levou-se em cori

ta quatro tipos de eventos possveis,
ou sejam: julgamento errado,
sequncia de ao incorreta, erro instrumental e falha em respon

der dentro dos limites de tempo aceitveis.
A Tabela - verdade...
6.6 rene e analisa os eventos considerados. Por exemplo,
para
que seja atingido o topo da rvore e necessrio que o sinal l u m i noso falhe ou, em uma segunda alternativa que o sinal luminoso
funcione e falhe o operador, ou por fim que o sinal luminoso e
operador tenham sucesso e o rel de *SCRAM falhe.

b) iviecanismo de segurana
A rvore de falhas correspondente ao mecanismo de segurana pode ser vista na Figura 6.10 acompanhada
da
Tabela - verdade 6. 7 referente as barras absorvedoras. Sao quatro

o nmero destas barras, sendo que trs delas so de segurana
a quarta, de controle. Admitiu-se nesta anlise que pelo menos du

as barras deveriam falhar para que o evento chegasse at o topo
da rvore. So, portanto, seis as combinaes significativas
falhas,
de
j que uma possvel falha simultanea de trs ou quatro das
barras desprezvel em termos de probabilidades. As barras
es-
to ligadas ao circuito de proteo atravs do rel de contato
dos
magnetos e na arvore de falhas, pela chave "e", o que significa

dizer que a anlise s ter continuidade,
is ramos falharem.
se e somente se, os do-
102
c) Sinal automtico do "SCRAM"

Para a rvore de falhas do circuito primrio<FIG.
6.4),
considerou-se que dois eventos seriam os responsveis pelo
possvel desligamento automtico do reator. O primeiro deles,
a temperatura elevada da gua do primrio e o segundo, pela que

da de vazo do mesmo circuito.
Segundo a Tabela 6 . 4 , quatro sao
as seqncias de eventos considerados para que se atinga
o topo
da rvore. A falha dos dois medidores, ou o sucesso de um deles

seguido de falha do rele de SCRAM e por fim, o sucesso dos dois
medidores seguido da falha do rel.
Para a rvore de falha do circuito secundrio(FIG.
6. 5) , considerou-se apenas o medidor de temperatura ,
que
uma eventual queda de vazo deste circuito no atingiria
vazo
do circuito primrio. A Tabela 6.5 mostra os dois eventos considerados.
Como o sinal para o registro da vazo pneumtico, in-
cluiu-se o compressor de ar na construo da rvore do sistema

de refrigerao (FIG. 6. 8).
Para a rvore de falha do Sistema de Instrumentao e
Controle (FIG. 6.11), o sinal automtico e transmitido pelos
canais de segurana e/ou de perodo. Os canais de segurana apre

sentam redundancia do tipo 2 em 3, ou seja, preciso
que
pelo
menos dois deles ultrapassem um valor admissvel para o reator

desligar. As possibilidades consideradas esto na Tabela 6. 8.
103
d) Falhas Mecnicas
Estas possveis falhas foram consideradas nas rvores do circuito primrio (FIG- 6.4) e circuito secundrio ( F I G .
6. 5). Levou-se em considerao a possvel ruptura de
vlvulas do circuito,
do conjunto moto-bomba ,
uma das
trocador de ca -
lor ou tubulaes. Para o circuito secundrio, foram tambm considerados os ventiladores das torres de refrigerao . A chave l
gica "ou" indica que a- falha de um destes componentes permitiria
a continuao da analise. No caso de ventiladores,
adotou-se acha
ve lgica "e" pois o eventual desligamento de vim deles,
em mui-
to pouco afetaria a operao.
6. 2 - Re s u l t a d o s
As rvores de falhas das Tabelas 6.1 ,
6. 2 e 6. 3
sintetizam os possiveis modos de falhas dos sistemas estudados.
As
probabilidades de falhas dos circuitos primrio e secundrio, representados na primeira rvore, obedecem uma sequncia
descritas na Tabela 6. 2.
de
falhas
Nesta tabela, considerou-se que primeira-
mente seria necessrio a falha de pelo menos um dos componentes do

circuito analisado. A partir de ento, considerou-se os casos de suces
so do sinal automtico e/ou manual e a subsequente falha do mecanis
mo de "SCRAM".
104
Os valores medios das probabilidades anuais de fa

lhas do Sistema de Refrigerao levando-se em conta os circuitos
primrio
e secundrio , so respectivamente de 2, 09 x 10
10""^. No caso em que dois circuitos primrio
e 4 , 98x
e os dois secundrio
estejam funcionando, simultaneamente, as probabilidades
de falhas
do sistema para potncias at 5 MW (circuitos redundantes), so res -9

pectivamente de 5, 89 x 10
-8
e 2, 99 x 10
por ano. Para potencias su
periores a 5 MW (circuitos no redundantes) as probabilidades mdias

anuais para os circuitos primrio
-7
-7
te , de 4 , 1 9 X 10
e 9, 97 X 10 .
e secundrio
so, respectivamen
preciso chamar ateno para o fato de que o cal

culo de risco para os circuitos de refrigerao ditos redundantes,
so aproximados, pois, esta redundancia no total, haja
visto
que, quando os dois circuitos trabalham para potncias inferiores

a 5MW, simultaneamente, a vazo total aquela especificada
em
projeto. Ao contrrio do que se poderia pensar cada um dos circuitos trabalha com a metade da vazo total. Mesmo assim, os resulta dos so vlidos pois, supondo que lim dos circuitos
fique inutilizado;'
a vazo do outro suficiente para minimizar ou mesmo evitar um aci

dente grave no reator.
Para a rvore de falhas do Sistema de Instrumenta^

o e Controle (FIG. 6.2), considerou-se as sequncias mostradas na
105
Tabela 6. 3. A partir de qualquer ocorrncia estranha no ncleo
do
reator, admite-se, primeiramente, uma possvel irregularidade nos

canais de transmisso. A falha subsequente do operador ou o sucesso na verificao desta irregularidade e a falha do mecanismo de
"SCRAM", conduz a uma probabilidade mdia de falha deste sistema
-7
igual a 7, 81 X 10 , por ano.
terceiro sistema analisado diz respeito ao for-
necimento de energia eltrica atravs de dados registrados durante

as operaes. No ano de 1979 ocorreram 15 interrupes. E m 1980 ,
19 e em 1981, 14. Tomando-se um valor mdio de 16
interrupes
por ano, tem-se que o valor da taxa de falha por hora, ser de
-3
8, 33 X 10
. Em caso de queda de tenso,
tipo "no-break", movidos a leo diesel,

Um deles,
dois moto-geradores do
entram em funcionamento.
alimenta a mesa de controle e o outro, o circuito
de
refrigerao primrio. A probabilidade de falha media anual neste

-7
caso e de 3, 27 X 10
Todos os resultados aqui colocados e ainda as probabilidades mnimas e mximas podem ser vistas nas Tabelas 6. 9,
6. l O e 6 . 1 1 . A listagem do programa utilizado nos clculos,
sua
descrio e os dados de entrada alm da distribuio das probabilidades no intervalo entre O, 5 e 99, 5% para os trs sistemas,
es-
to contidos nos Apndices A e B. A simbologia usada na construo das rvores de falhas se encontra no Apndice C .
106
Tabela 6.1 Taxa de Falha e Fator de Erro dos Eventos Primarios

Numero
de
Evento
Fator
Taxa de
de
Eventos Primrios
Falha( /hr)
-4
Compressor
Tubulao de armaze
namento de ar com primido
Erro
10 +
3,0x10
-9
1,0x10
30 +
-S
Chave de presso
ar
de
1, 0
10
10 +
-7
5
6
Rel induo presso

de insuflamento
10 +
1,0x10
10
Medidor de vazo
Microsv/icht
1, 0
1,0
-H-
X
X
10
10
10 ++
_7
-
Rel de SCRAM
1, 0
Ruptura de vlvula
1, 0
10
-8
10
3 + .
10 ++
_ o
- y
Trocador de calor
1,0x10
30 ++
o
10
Motor-Bomb a
11
Tubulaes(7, 62cm)
12
Operador :
- Julgamento errado
8, 9
10
13
- Seqncia incorreta
7, 6
10
14
- Erro instrimiental
2, 6
10
15
- Falha para responder
5, 8
10
16
Anunc lado r (lumino so)
3, 0
10
17
Sensor de temperatura
1,0
10
3, 0
10
-10
1, 0
10
10 ++
30 ++
-7
l ++
_7
-
10
-hi-
-7
1
lo ++
_7
10
tj
-fi
-H-
10 ++
10
-H-
_Q
- 17
18
Rel de Mercrio
3. 0
10
3 +
107
Continuao da Tabela 6.1

Nume IX)
de
Evento
Taxa
de
Fator de
Eventos Primrios
Falhai /hr)
Erro
-7
19
Rel de SCRAM
3 +
1,0x10
~R
O
20
Barra de Segurana
21
Barra de Controle
3 +
4,0x10
-6
4,0
3 +
10
1
22
Rel de contato dos

magnetos
1, 0
10
10
-H-
-5
23
Ventilador da torre de
refrigerao
1,0x10
24
Bistable(Perodo)
5, 7
25
Circuito de deteco
1,0x10
10 ++-6
3 +++
10
3 ++
- 71
26
Queda de alta tenso
1,0
3++
10
_7
27
Rel de SCRAM
1, 0
10
-H-
-R
O ..
28
Bistable % de Potncia
3 +++
5, 7 x l O
_7
29
Circuito de deteco
1,0
3 ++
10
_7
30
Queda de alta tenso
31
Bistable queda de alta

tenso
1,0x10
3 ++
-fi
u
5, 7
10
-H-
-6
32
"No-Break" da mesa
de controle
3, 0
10
10 +
_fi
33
"No-Break" do circuito
primario
3, 0
34
Energia Eltrica
1,85
+
++
+++
Dados obtidos na referncia

/6/
Dados obtidos na referncia
1X9/
Dados obtidos diretamente do fornecedor
10
10
10 +
10 +++
108
BI8
Mecanismo
do
SCRAM
817
f
Eventos
Sinal
do
SCRAM
possveis
AI7
814
Sinal
Sinai
manual
automtico
FIG.
6.1
rvore
de
folhos
do
Sistema
de
Refrigerao
Sinal
automtico
manual
possveis
T A B . 6.2
Conveno*.
Tobela-verdade
S - sucesso
do
considerados
-(F)
referente
F I G . 6.1
evento
F - falha do evento
- ( F ) - f a l h a nao considerada nos clculos
6)
Eventos
Mecanismo
do
scrom
Sinal
Eventos
.
X
FIG. 6.2 -
rvore de falha
do
Sistemo
de
Instrumentapo
SCRAM
BiO
Mecanismo
do
SCRAM
B8
BARRAS
7\
85
A8
Canais
20
20J
BSI
BS2
de
medidas
Operolor
BC
{^20^
BS3
Mecanismo
de
scram
TAB. 6.3
Eventos
possveis
de ocorrer na F I G . 6 . 2
Controle
ILL
S CRAM
BI9
Bl
83
14
BARRAS
MOTO-GERADORES
Al
ALIMENTAfAO
ELTRICA
B2
pels
21
A2
M-GI
M-G2
BC
20)
BSI
FIG. 6.3 - Arvore de falha do Sistemo de alirnentapo' el.e'trica
do
Reator
Q
BS2
20
BS3
112
B9
VLVULAS
Bl
Al
A3
A2
10
Trocodor
de
color
FIG. 6 . 4 -
8
tubulaes
FPOTOF
Vp5
bomba
Componentes
do
Vpl
Vp2
VpB
Vp9
circuito primrio
815
VENTILADORES
A4
14
810
N
VLVULAS
23
23
Al
A2
A7
B2
V
A5
10
Trocador
V5
ya 2
^'
de
7
fi
\/ i
color
(rotor
bomba
II'
t Jbls(,...->s
FIG. 6.6
Arvore
de
folhas
do
sinal
113
aionuol
SINAL
REL
Eventos
DE
OPERADOR
conside-
LUMINOSO
SCRAM
rodos
-(F)
-(F)
-(S)
TA3. 6.G - Tubcio - vordade referente

da
FIG.
6.6
arvore
FIG. 6.7
Arvore
de folhas
do
sinal
automtico
do circuito
B6
Rl
|4
M e d i d o r de
temperoturo
I T
Medidor
d8
temperot
S
F
S
F
Re!e
de
scrom
18
rel
Eventos
considerados
X
X
TAB. 6 . 5 -
Tobela-verdade
referente a rvore
da F I G . 6.7
Compressor
de a r
comprimido
84
AH
AlO
J L
F I G . 6 . 8 - Arvcrr;
de folha.s
do corn pressor
secundrio
FIG.
6.9
Sinal
automtico
115
Medidor de
tem p e r o r u r a
medidor
microswicht
Medidor
de
rerr.perofura
Medidor
de_^
vazo
sensor
rele
Rele
E ventos
de
-eram
considerados
-(F)
TAB. 6.6
Tobela-verdade
referente
o FIG.
5.9
FIG. 6 . 1 0 -
rvore de folhas
do
mecriismo
de
seguronpa
BI3
Barras
B7
AI5
Barras
20
g)
(zoj
BSI
BS2
BS3
absorvedoras
TAB. 6 . 7 -
Tabela - verdode
referente
as
barras absorvedoras
116
FIG. 6.11 -
Arvore
de falhos
dos
canais de segurana e perodo

e -
Bistable
%
e pofnclo
tensoo
6 . 0 - canais
de segurcr
de o i t o
tenso
TA3.
quedo
do o i t o
BOT - Qistoble
OT - Quedo
C O - C i r c u i t o <J d e t a c y o o
BP-Bistable
CO
>
2,08
2, 53
de energia
Sistema de Instrvimentao e Controle
10
10
10
Sistema de alimentao
eltrica
3, 93
secundrio
Circuito de refrigerao
mnima
-8
-10
-9
-9
Probabilidade
1, 64 X 1 0
Sistemas
10
-7
7, 8 1 x 1 0
-7
-7
-7
10
3,27x10
4, 98
2, 09
Mediana
Probabilidades de acidentes no reator l E A - R l , por ano
Circuito de refrigerao primrio
Tabela 6. 9
1, 85
1,35
1, 93
4.41
10
10
10
10
mxima
-5
-4
-4
-5
Probabilidade
00
10
-7
-9
X
10
8,83x10
1, 52
mxima
Probabilidade
-5
-5
Circuitos redundantes so aqueles que possuem a mesma funo dentro do sistema e a perda de um deles
no implica necessariamente na falha do sistema
4, 19
5,89x10
Mediana
primario , por ano
pensveis operao.
+ + Circuitos no redundantes so aqueles que, embora possuindo a mesma funo no sistema, so todos indi
3,29x10
Circuitos no redundantes + +
Potncia superior a 5MW
-9
-12
minima
Probabilidade
4,78x10
Sistemas
Probabilidades de acidentes nos circuitos
Circuitos redundantes
; +
Potencia mxima de 5MW
T a b e l a s . 10
CD
2, 61
7, 86
Circuitos nao redundantes

Potencia superior a 5MW
X
- 9
-11
10
10
mnima
Probabilidade
Circuitos redundantes
Potencia mxima de 5MW
Probabilidades de cidentes nos circuitos
Circuitos
Tabela 6.11
9, 97
2, 99
Mediana
secundario
10
10
-7
, por ano
3. 87
4, 51
10
10
mxima
-4
-4
Probabilidade
to
o
121
6. 3 - C o n c l u s e s
A partir dos resultados obtidos no item anterior (Tabelas 6. 9, 6.10, 6.11), observa-se que o Sistema de Refrigerao, o^
perando com dois circuitos redundantes (circuito primrio A e B, circuito
sectuidrio A e B), o que apresenta as mais baixas probabjli -
dades de um possvel acidente envolvendo o reator l E A - R l . Estes re sultados j eram esperados pois, os sistemas redundantes, embora de^
sempenhem as mesmas funes dentro do sistema, a falha de algvim elemento em um dos circuitos no implica necessariamente na falha do
sistema. Isto comprova a importncia da utilizao, entre outros,
de
componentes, canais de medidas e circuitos redundantes, uma vez que,

necessrio ocorrer nestes casos, a falha simultnea destes elementos para que o sistema, como um todo, fique comprometido.
Observa-se, tambm, que as probabilidades mdias de

um possvel acidente envolvendo um dos circuitos primrio
inferior
a de um circuito secundrio. Isto ocorre, porque a queda de vazo
do
primeiro est diretamente ligada ao circuito "SCRAM" do reator, en quanto a do segundo, no. Alm disto, o circuito secundrio inclui
os
ventiladores das torres de refrigerao que constituem elementos adicionais em uma possvel falha do circuito. Duas concluses bvias se a
floram: que um nmero maior de dispositivos de segurana
diminuem
os riscos, e que a incluso de novos componentes aumentam estes riscos.
122
Nota-se tambm, atraves dos resultados, que a pro

babilidade mdia de acidentes nos circuitos de refrigerao no redun
dantes (embora tenham a mesma funo, so indispensveis operao), igual ao dobro dos valores das probabilidades computadas para para um nico circuito primrio e secundrio, respectivamente.
Isto decorre da duplicao de componentes no caso em que, dois circuitos no redundantes so utilizados e, portanto, todos os elemen tos de cada circuito so indispensveis.
Quanto ao Sistema de Fornecimento de energia el trica,
a probabilidade mdia de um acidente , se encontra em uma
posio intermediria na tabela. Este valor de risco baixo, decorre

principalmente devido a existncia de dois turbo-geradores tipo "nobreak", cuja funo a de manter a alimentao eltrica da instru mentao e do circuito primrio^ respectivamente^ quando ocorrer u
ma eventual queda de tenso no programada. Portanto, a presena
destes dispositivos e o seu funcionamento correto indispensvel pa
ra que haja um valor de risco baixo.
Por fim, pode-se citar o Sistema de Instrvimentao

e Controle que
apresenta um dos maiores riscos mdios. Este siste-
ma, como foi visto no item 2 . 2 ,
o responsvel pela operao segu_
ra e pelas informaes acerca da reatividade no interior do ncleo do

reator.
Uma eventual falha deste sistema poderia resultar na parti-
123
da
cega do reator ou super-elevao da potncia comprometendo as-
sim, a segurana do reator. , pois, importante que o referido
siste-
ma seja verificado constantemente e que haja uma manuteno contnua para que desempenhe com eficincia as suas fimes.
Finalmente, conclui-se que os resultados aqui obtidos

apresentam valores reduzidos de risco se comparados com outras pro
babilidades de acidentes. Por exemplo, a Tabela 6. 3 / l ^ ,
cujos r e -
sultados so baseados em uma populao mdia nos Estados
Unidos
em 1969, Coloca como probabilidade de risco individual de morte por

ano devido a fenmenos naturais ( por exemplo, troves, tornados, fu
-7
raes, etc) o valor 4 x 1 0
e, para acidentes nucleares ( baseado
-9
em 100 reatores) , 3 x 10 .
Comparativamente, o risco individual anual para cada

trabalhador que se encontre nas vizinhanas do reator igual a probabilidade calculada de ocorrer um acidente ( objeto deste trabalho)mul
tiplicada pela probabilidade de que este acidente cause efetivamente fa
talidade. A probabilidade de ocorrncia de um acidente foi
'
neste
estipulada
-4
trabalho, na pior hiptese, em 1,4 x 10
por ano. Por outro
lado, a probabilidade de que esse acidente cause uma fatalidade

foi
no
objeto de clculo deste trabalho, mas, consideraes similares
em situaes envolvendo reatores de potncia onde a quantidade de ra-
r R - T l C S E
NUCLEARIAS
124
diaes envolvidas so bem maiores (cerca de 1000 vezes maiores)

autorizam a firmar que so extremamente baixas.
Com exceo dos circuitos de refrigerao redundantes,
todos os outros apresentam riscos de falha com a mesma
ordem de grandeza. Isto muito significativo pois demonstra a ex_

istencia de um bom equilbrio nas rvores de falhas, ou seja, mostra
que os sistemas esto bem balanceados
e que, os melhoramentos que
possam ser feitos daqui para frente, devem atingir
equitativamente
todos os sistemas para evitar um super dimensionamento de ima
em
relao aos outros.
Ateno especial deve ser dada ao desempenho dos

operadores na operao e controle do reator. Dentro dos sistemas
analisados, os operadores juntamente com o circuito automtico de
"SCRAM",
so os responsveis pela identificao de uma eventual
falha e consequente desligamento do reator. , pois, fundamental que

sejam treinados para responderem com rapidez e eficincia quando so
licitados.
Com a finalidade de manter os nveis de confiabilidade

elevados, recomenda-se ainda, uma manuteno eficaz e testes regulares, a fim de manter os equipamentos em boas condies de uso di minuindo ao mxiino as probabilidades de falhas individuais.
APNDICE A
- O Programa utilizado e a sua

descrio
126
C O M P I L ER
OPTIONS
**
C
C
C
C
NTT = 5 0 ,, SSI IZZEE== 0

0 0 0 K t,
N4KE=
V I N , G P T = 022 ,, LLIIN
NE
ECN
OOOOK
S O L R C E t B C D j N C L I S T - ' ^r^^^- fOÊ
f ^CrK
' ' -, 'L CTAADn, ^. ^
v aAdP., NwCr E
PD
n I? TT .. I D , N O X R E F
SAMPLE
FUNCTION
EPROR
SAMPLE
ANALYSIS
PROBLEM
**
FCLTINF
COMMON X Q I I C O ) , X D C I 0 0 ) X ( 1 0 0 J , X Y f 6 0 0 0 ) , X 0 R 1 3 ) , X P R I B C 3 )
COMMCN/BBB/ICCN{19}IM,IDIS!3}
DOUBLE P R E C I S I O N
XC Y , X Y S U^ , X YSUM2 , XZ C , X AOZ , X AQZ 2
OIMENSICN TITLE ( 2 0
DATA E X I T / E X I T * /
DATA
NOR^tLCG,NIM/^N*,L,'I/
CG'^MCN/DBL/XD Y,X>SLV,XYSUM2,XZC,XAC:ZtXA3Z2
INTEGER
I NC I 1 9 / I , 2 5 1 0 , 2 0 1 AD, 5 0 * 6 0 , 8 0 , 1 0 0 , 1 2 0 , 1 4 0 , 1 5 0 , 1 6 0 ,
119C,1S5,ISS.lcc/
100
CONTINUE
XVEPÔ.S
XA = 1A. 5 * SORT i C . 9 5 ^ 0 , 0 5 )
180,
IFLAG=0
ICGNV=0
DO AC
1-1,19
40
C
C
ICON(n = 0
ICOM ARE THE INDICES FCR

2 5 . 0 , 3 0 . C, A C . C , 5 C . C - , 6 0 .
IDISiD^C
THE C C N F I D E N C E S 0 . 5 , 1 . 0 , 2 . 5 , 5 . 0 , 1 0 0 , 2 0 . 0 ,
0 , 7 0 . 0 , 7 5 . 0 , 3 0 . 0 , 9 0 . 0 , 9 5 . 0 , 9 7 . 5 , 9 9 . 0 , 9 9 . 5
rais{2j=o
1000
iDISi3J=C
XPRIBN) = C.lC
X P R I B i 2 ) = 0 . 05
X P R I B l 3 ) = C . C2
XYSUM=0.C
XYSUM2=C.O
read;5,ICCCJ
TI TLE
FORMAT(20AA)
'
IFITITLEID.EC.EXIT)
GC TG 2 0 0
READ15,1)
IN,IMAX,NPP0B,IDIST
FCRMATf3I5,2AX,AIJ
c
r
C
C
IN=NO.
CF ARGUMENT V A R I A B L E S
I M A X = SAMPLE S I Z E I F B L A N K , D E F A U L T S TO
1200
N P R O B = NG.
PROBLEMS IF BLANK,DEFAULTS TO
IFCIN . E C .
C) GC TC 2 0 0
I F U M A X . L E . CJ I ' ' A > = 1 2 C C
R c A D l 5 , 2 M X w i I J , X D ( I } ,1 = 1 ,INJ
FDPMT6F1C.C)
C
C
c
c
c
c
c
c
c
c
c
c
NORMAL
XQ(I)
XD.' 1 )
IIDIST
^
N)
= "FAN
-= 9 C / EF = OP
SPK EAC
LOG-^:"ÂL
{ in
ST = L )
X j i n
= ^-EDIAN
XDil)
= RANGE F A C T O R
LOG-UNIFORM
X0{ N
IIDIST
MEDI AN
IJ
127
XD(I)
C
C
C
C
0037
0038
0035
OOAl
0042
004A
0045
C047
0045
0051
0053
005A
0055
0056
0057
0058
0059
0060
00 6 1
0063
0065
0067
0068
0065
007 0
0071
0072
0073
0 0 74
00 7 5
CC76
0077
0078
CC7C
COEC
GO EL
0082
0283
0084
CCES
0086
00 = 7
C03S
CC?5
0C91
00 5 3
CC55
= 90/
EPRCR FACTOR
WRITFJ6,3)
3 F O R M A T t 1 H 1 , 2 0 < I H * ] ,AX,82HSAyPLE-A CODE FOR DETERMINING THE
l U T I O N ANC CGNFIDENCS L I M I T S BY S I H U L A T I C N , 4 X , 2 0 < I H * ) I
IF{NPRG3 . N E . OJ
I T E < 6 , 1 0 0 1 ) TITLEiNPRCB
1001
DISTRIB
FORMATnHC,T15T20t'^,12HFUNCtlCN NG. , I 4 J
IF(NPRCB . E C . 0 !
ITE(6,1002) TITLE
FORN'ATS l H C , T 5 C , 2 C A 4 r
I F d D I S T . N E . NCP.y .AND. I D I S T . N E . LOG . A N D . I D I S T , N E . NUNI)
GO TO 2C0C
I F d D I S T . E C . NCP^! W R I T E ( 6 , 4
I F d D I S T , C . LC.G) WRITE{6,4'VV
I F d D I S T . E C . NUK!) K R I T E ( 6 , 4 i ^ f )
4 FOPf'ATl I H O / I H , 4 7 X , 3 3 H I K P U T MEANS AND 5 0 ( ERROR SPREAOS/IH
FC:RKAT{ I H C / I H , 4 7 ) : , 3 5 H I N P U T MEDIANS AND 90 { ERROR FACTORS/IH
44
FORMAT! I H O / I H ,A?)< , 3 : HI NPUT KEDIANS AND RANGE FACTORS/IH )
444
W R I T E ( 6 , 5 M I , X C d ) . X D ; I ) ,1=1 ,IN>
FOR MAT d H , 1 H ( , 12 , IH) ,1PD13. 4 , 1 PDl 3 . 4 , 3X , 1 H J , I 2 , I H > , 1PD13. 4 ,
ilPD13. 4,.3X,1H(,12.IHJ,1PD13. 4 , l P D 1 3 . 4 , 3 X , l H ( , I 2 , l r i ) , l P D 1 3 . 4 ,
21PD13. 4)
VAL=SAMPLEIXC,IFLAG,NrRCB)
W R I T E i 6 , 3 5 l VAL
39 F O R M A T J l H C t / , 2 0 x
VEDIAN PCINT VALUE FOR SYSTEM IS , 1 P D 1 3 , 4 )
I F d D I S T . E C . NCRy) GO TG 6 1
I F d D I S T . E C . LCG) GO TC 62
I F d D I S T . E C . NUNd GO TO 63
6 1 CONTINUE
DO 40C0 1 = 1 , I N
4000
XD d 1 = X O d J / 1 . 64
GO TO 64
62 CONTINUE
,
DO 4 0 0 1 I = 1 , I N
.
XOd)
ALGGl>;w{l))
XOd )
ALOG(XD{IN
XD( 1 )
4001
X D I I ) / 1.64
GD TO 6 4
63
CONTINUE
DO ^ 0 0 2 1 = 1 , 1 N
XCd ) = ALGGlXCdd
XOd ) ^ ALOG(XD(I))
XC{I) = X C d ) - XDdJ
4002
XDd) = 2.0 *
rcii)
64
CCNTINLE
IX = 7 6 5 ' . 3
.
IM=C
C IM I S THE TOTAL M,"'3= CF SAMPLES STORED
ISAM1=2
C ISAMl I S THE S F G I N M I INDEX CF THE SAMPLE LOOP
DO 6 1 V ^ l , I N
IVD=IV
I'^dDIST .EC. N .
cr. i c i st . ec. l c g j
1 CALL GALSSn > xD<! v c ) , X C N VC) , X V I
I F d D I S T . E C . hUKU CALL U N I F O I X C d V O ) , X O d V Q ) , X V I
I F d D I S T . E C . NCPN) X d V G ) = XV
I F d D I S T . E C . LCG . CR. I D I S T . E O . N U M J X ( I V 3 ) = EXPIXV)
1002
, . s n T u . o u e P . s Q u . ^ . . ^ ' R
iC
S t
NUCi.'ÂRt-
128
:S7
)<ie
)9g
01
02
03
OA
05
06
07
C8
CONTINUE
XYY=
SAHPLE(X,IFiLAG,NPRCB)
I F ( I F L A G , E C , 0 ) G O TG 5 C
IFLAGrO
GO TG 51
50 XDY=XYy
XYSUM=XYSUM+XDY
XYSLM2-XYSLM2+>0V*>DY
51
IM=IH+1
XY(IM)=XYY
2 1 DO 2 0 I S A M = I S A M , 2 G C
09
DO
10
11
lV=ltIN
IV0=IV
IFI IDIST , E C ,
1 CALL GAIJSS( I X
IFdDIST
.EC.
IFdDIST .EC.
IFdDIST .EC.
13
15
17
19
CONTINUE
20
XYY
21
23
2A
NCRV . G R .
IDIST
.EQ.
LOG)
, X D U V C ) X C i l V O ) tXV)
N U N I J C A L L UN I F <XQ U V Q ) , X D U VO > , XV )
NCR>> X d V O ) XV
LOG . G R .
ICIST . E C . NUNI)
XdVOJ
= EXP(XV)
SAMPLEIX,IFIAG,NPRCBJ
IF ( I F L A G . E C . O G O
IFLAGÔ
GO TO 53
25
26
27
TC
52
52
XDY=XYY
XYSUM=XYSUM+XDY
XYSLM2=XYSiM2+>DY*XDY
THE O R D E R I N G O F THE XY V E C T O R
28
53
29
30
DO
I-1,IM
IMO=I
IFIXYY.LE.XYiDJGC
32
33
CONTINUE
IM=IM+1
:3A
Xy(IN)=XYY
.35
GO
C
C
C
136
.37
IMO
THE
9
.38
.39
10
AO
.41
TO
TC
20
I S THE P R O P E R P C S I T I C N
ENTRIES
IMG TC I w NEED
ISF0=IM*IMC
DO 1 0
I=IMO,IM
FOR X Y Y I N X Y
TO BE S H I F T E D
ISF = I S F C - I
X Y i I S F + 1 ) = X Y f I SF )
XYtIMO)=XYY
IM = I M + l
.42
2 0
CONTINUE
C
C
SAMPLING
A3
DO
AA
.A5
.A6
LA7
55
C
C
C
C
5ATCH
55
HAS
BEEN
COMPLETED
1=1,19
ICGNII ) = I C C N ( I ) + I N C d )
ID ! S ( 1 ) = I D I S t l ) + 2 0
ID1S(2)=IDISt2)+10
IDIS(3)=IDISC2)+A
CHECK
NOh
FCR
CONVERGENCE
IS
CCNVERGENCE
CN
THE
95
PER
XM=IM
XPERR=XA/SCRT<>wJ
IrtXPEFR.GT.>VR)GC
7C
22
CENT
RANGE
DOWN ONE
POSITION
'
129
1152
>153
1154
)156
)157
)158
)159
160
1161
1162
1163
1164
)lt5
166
il67
1168
,169
32
22
30
31
33
2000
2001
3000
200
IC0NV=1
GO TO 3 0
IF(rM,GE.iyAX)GO
ISAM1=1
GO TO 2 1
TC
3C
'
CONTINUE
WRITEI6,33)IN,XPERR
FORMATClH0/lhC,15X,19H0UTPUT
EVALUATIONS,,3X,13HSAMPLE SIZE = ,
I I 5 t 3 X , 4 5 H A C C U R A C Y CN 9 5 PER CENT C O N F I D E N C E I N T E R V A L = F 4 . 1 , 1 X
28HPER C E N T )
CALL OUTPUT
GO TO 3 C G C
i^RITE { 6 , 2 C C 1 )
FORMAT! 1 H 0 , T 4 5 E R R O R PARAMETER D I S T R I B U T I O N NOT G I V E N " )
CONTINUE
GO TO I C O
CONTINUE
RETURN
END
130
COMPILER
0002
0003
0004
0005
0006
0007
0008
0009
0010
0011
0012
0013
0014
0015
0017
0018
0C19
)031
)032
)023
)3?4
)035
)036
OPTIONS -
NAME=
MA I C P T = 0 2 , L I N E C N T = 6 0 , 5 I Z E = 0 0 0 0 K ,
SOLRCE,BCD,NCLIST,NOOECK,LOAD,MAP, NCEDIT, ID.NOXREF
SUBROUTINE OLTPUT
COMMON X G ( 1 0 0 ) , X C 1 1 0 0 ) , X I 1 0 0 ) , X Y ( 6 0 0 0 J ,
IXOR{3)tXPRIBJ3)
C0MM0N/BBB/ICCM19),If',I0ISC3)
DOUBLE P R E C I S I O N X D Y , X Y S U M , X Y S U M 2 , X Z Q , X A Q Z , X A Q Z 2
COMMaN/DBL/XCY,XYSLf',>YSUf'2,XZC,XAgZ,XA0Z2
REAL*4 XCGM 1 9 ) / C . 5 , 1 . 0 , 2 . 5 , 5 . 0 , 1 0 . 0 , 2 0 . 0 , 2 5 . 0, 30, 0,40, 0 , 5 0 . 0,
1 6 0 . 0 , 7 0 . 0 , 1 5 . 0,8 0 . 0 , 9 0 . 0 , 9 5 . 0 , 9 7 . 5 , 9 9 . 0 , 9 9 . 5 /
XM=I'
XZQ=XM
XAQZ=XYStM/XZQ
'
XAVG=XACZ
XA0Z2=XVSLM2/>ZQ-XAQZ*XAGZ
XSTD=XACZ2
XSTD=XSTD*>N/lXf-1.0)
IFIXSTD.LE.O. OXSTD^C.O
XSTD=SQRT{XSTD)
RITE{6,1) >AVG,XSTO
1 FORMAT! l h - , 2 4 X , 2 4 H D I S T ? . I B U T I C N PAR A M E T E R S . , 3 X , 6HMEAN = , 1 P D 1 3 . 4 ,
13X,2CHSTANDARD DEVIATION = , l P 0 1 3 . 4 i
WRITE 1 6 , 2 )
2 F O R M A T ( 1 H O / 1 H C , 5 C X , 3 C H D I S T R I B U T I O N CONFIDENCE L I M I T S )
WRITE(6,2)
3 F O R M A T ( 1 H C , 4 5 X , 2 1 H C C N F I D E N C E (PER C E N T ) , 5 X , 1 4 H F U N C T I 0 N VALUE)
4F0PMAT{1H ,45X,8X,0PF4.1,9X,5X,1PD13.4)
00 5 1 = 1 , i c
I0=ICONtI)
XVL=XY(I0)
XCF = X C O N ( I )
WRITE{6,4)XCF,XVL
5 CONTINUE
C COMPUTATION OF T H E D I S T R I B U T I O N D E N S I T Y
6 F 0 R M A T ( 1 H 1 , 3 < ; X , 5 2 H T H E F R E C U E N C Y D I S T R I B U T I O N I N 1 0 PER CENT INCREM
lENTS)
7 F O R M A T ! 1 H 1 , 3 9 X , 5 1 H T H E FREQUENCY D I S T R I B U T I O N I N 5 PER CENT INCREME
INTS)
8 FORMAT! 1 H 1 , 3 9 X , 5 1 H T H E F R E C U E N C Y D I S T R I B U T I O N I N 2 PER CENT I N C R E M E
INTS)
9 F O R ^ A T d H , 4 2 X , 3 S H < P E R C E N T ACCURACY FOR EACH I N T E R V A L = , F 6 . 1 , l H )
1 0 FORMATt 1 H 0 / 1 H 0 , 1 7 X , 9 H E N D V A L U E , 5 X , 2 2 H D J M U L A T I V E P R O B A B I L I T Y , 2 1 X ,
1 1 5 H I N T E R V A L SPREAD , 1 3 X , 1 5 H F R E C U E N C Y VALUE)
1 1 rORMATtlH , 1 4 X , 1 P D 1 3 . 4 , 1 OX,0PF6. 2 , 2 4 X , 1 P O l 3 . 4 , I X , I P D l 3 . 4 , 8 X ,
11PD13.4)
XORll)=S0RT1XV*0.9C*C.lOl/tXM-O.lO)
XOR12) = S C R T ( X ^ C . 9 5 0 . 0 5 ) / < X M - 0 . 0 5 )
X0R{3) = SQRT<X'C.9S*C, 0 2 ) / ( X f ' * 0 . 0 2 )
DO 1 2 1 = 1 , 3
1 2 XOR( n = X C R ; H * 1 6 4 . 5
DO 3 C I C = 1 , 3
ITAG=ID
GO T C 4 3 1 , 3 2 , 3 3 ) , 1 TAG
31 RITE16,6)
GO TO 3 4
32
wRITE(6,7)
GO TO 3 4
33
rtRITEI6,E)
131
34
WRITE16t9)XCRITAG)
11=1
IO=IDISIITAG
XYl^XYIIl)
XY2=XYID)
XTEMP=XPRlsn7AGI
35
36
37
38
XPROB=XTEMP
XINT=XY2-XY1
iFXlNT.Gt.l.CE-20)GC
X F R E Q = 1 CE + 5 C
GO T O 3 6
XFREC-XTEMF/XINT
TO
35
WRITE6,1C)
WR T E { 6 , 1 1 ) X Y 2 , X P R C B , X Y 1 , X Y 2 X F R E C
11 = 0
I1=I1+ID
12=11+10
I F ( I l . G E . I M ) G C TC 4C
XY1=XY2
XY2=XY(I2J
XPR03=XPR0B+XTEKF
XINT=XY2-XY1
IFIXINT.GE.1.CE-2C)G0
XFREQ=1,CE+5C
GO TO 3 9
XFREO-XTEMP/XINT
TO
38
39
WRITE(6,11)XY2tXPRCB,XYl,XY2,XFREQ
GO TG 3 7
40
30
CONTINUE
CONTINUE
RETURN
END
132
COMPILER OPTIONS 0002

0003
OOOA
0005
0006
C0C7
00C8
0009
h^HE= MAIN,CPT=02,LINECNT=60tSIZE=OOOOKT
SOLRCE,BCD,NCLIST,NOCECK,LCAD,MAP,NCEDIT,ID,NOXREF
SUBROUTINE RANDR 1 1 > , I Y , Y )
IY=IX*6553S
IfiIYI5,6,6
5 IY = I'y + 2147^36A7+1
6 Y=IY
Y=Y*.4656ei3E-9
RETURN
END
133
COMPILER
OPTIONS
N4M=
MfiIN,CPT=02tLINECNT=60.SIZE=OOOOK,
SCLRCE,8CD,NCLIST,N00ECK,L0AC,MAP,NCEDIT,ID,NOXREF
0002
0003
0004
0005
0006
SUBROUTINE
CALL
V=A+Y*B
RETURN
END
UNIFG(A,B,V,IX)
RANDRlIX , I Y , Y
'
134
COMPILER
OPTIONS
NAME=
MAIN,CPT=02,LINECNT=60,S12E=OOOOK,
SOLRCE,BCD,NCLlST,NODECK,LCAD,MAP,NGEDIT, ICNOXREF
0002
SUBROUTINE
0003
A=0.C
0004
DO
00C5
CALL
0006
0007
0008
0009
0010
50
50
G A L S S ( I X . S ,AMV
I=l12
RANDRII>,IY,Y)
IX=IY
A=A+Y
V=tA-6.C)*S+AK
RETURN
END
135
2. D E S C R I O
DO P R O G R A M A
Alm do programa principal, a " F u n c t i o n

Routine
Sample
" apresenta quatro subrotinas e uma fimo auxiliar.

a) P r o g r a m a
Principal
Primeiramente so atribudos valores iniciais de pro babilidades s variveis descritas na expresso booleana. Os dados de
entrada so lidos e imprimidos. A partir de ento o programa principal
determina o valor das probabilidades e a sua distribuio atravs
de
1200 tentativas. Esta distribuio pode ser feita de trs maneiras :

a. 1 - distribuio normal
a. 2 - distribuio Log-normal
a. 3 - distribuio Log-uniforme
A s duas primeiras utilizam-se da "subrotina GAUSS"
enquanto a distribuio Log-uniforme utiliza a "subrotina UNIFO'?.
seguir, a funo "SAMPLE" chamada para determinar os valores das

probabilidades e a sua ordem em um intervalo igual a 95 % de
todas
as possibilidades.
b) Subrotina OUTPUT
Esta subrotina chamada pelo programa principaLpara imprimir os dados de sada. Entre eles se encontram as probabili dades de falhas distribudas segundo um intervalo que varia de 0 , 5 %
e 99. 5 %.
135
c) S u b r o t i n a
RANDR
Esta subrotina foi introduzida na listagem para gerar

nmeros aleatrios que sero utilizados pelas subrotinas "GAUSS" e
"UNIFO".
d) S u b r o t i n a
GAUSS
Esta subrotina e chamada pelo programa principal

quando se deseja uma distribuio log-normal ou normal para as pro^
babilidades de falhas dos sistemas.
A subrotina tem por fim trans-
formar uma distribuio uniforme de nmeros aleatrios em uma dis tribuio normal.
e) S u b r o t i n a
UNIFO
Esta subrotina chamada pelo programa
principal
quando a distribuio desejada a log- uniforme.
f) F u n o
SAMPLE
Esta fxmo consiste de vima ou mais expresses boole

anas representativas das rvores de falhas que se deseja estudar.
funo calcula o valor da probabilidade com os dados pro viniente s do

programa principal,
3. D E S C R I O D O S G A R T E S D E
ENTRADA
Atravs deste programa podemos calcular as probabilidades de falhas de uma ou mais rvores em uma s listagem.
Para uma funo ,
a disposio dos cartes a seguinte :
137
Function "SAMPLE" ( X , IFLAG, NPROB )

Dimension X ( l )
SAMPLE = equao
Return
End
SAMPLE SAFETY SYSTEM ERROR ANALYSIS
Com relao aos cartes de dados,
tem-se:
Carto A: FORMAT (315, 24X, A l )

a. nmero de eventos primrios (IN)
b. nmero de iteraes (IMAX)
No caso em que IMAX omitido, o programa execu
ta 1200 iteraes.
'
c. nmero de problemas (NPROB)

Ao ser omitido,
subentende-se
NPROB = 1 .
d. distribuio das probabilidades (IDIST)

Para uma distribuio normal, IDIST = N;
Para uma distribuio log-normal, IDIST = L;
Para vraia distribuio log-uniforme,
IDIST = I.
Carto B: FORMAT (6FIO)

so os cartes contendo as probabilidades de falhas com
os respectivos fatores de erro para cada componente. Cada carto
pode ter no mximo trs dados.
APNDICE B
- Distribuio das probabilidades de falhas dos Sistemas estudados para um

intervalo de confiabilidade entre O, 5 e
99,5%.
139
Tabela B. 1
Distribuio das Probabilidades de Falhas para o
Circuito Primario
Percentis (%)
Valor da funo
-9
O, 5
1, 6491
1,0
2, 3604 X 10
2, 5
4, 7059 X 10
5. O
8. 7989 X 10
10, O
1, 8032 X 10
20, O
3. 9244 X 10
25, O
5, 4625 X 10
30, O
7, 0835 X 10
40, O
1, 2179
50, O
2, 0972 X 10
60, O
3, 4096 X 10
70,0
5, 9833 X 10
10
-9
-9
-9
-8
10
-8
-8
-7-7
-7
-7
80,0
-7
8, 2076 X lo'
-6
1, 1885 X 10
90, O
2,8429 X 1 0
95, O
6, 1894
97, 5
1,0996 X 1 0
99, O
2, 2690 X 10
99, 5
4, 4191
"75, O
V a l o r Mdio
-8
-6
= 1, 5742 x l O '
V a l o r Pontual = 1, 7953 x 10
-7
-6
-6
lo"
10
-5
-5
-5
140
Tabela B. 2
Distribuio das Probabilidades de Falhas para
dois Circuitos Primario Redundantes

Percentis(%)
Valor da funo
0, 5
4, 7881 X 10"-^^
1,0
7, 7699 X lo"'^^
2, 5
2, 2792 X 10
5, 0
4,4674 X 1 0
-11
-11
1 0, 0
1, 2922 X 10""^
-10
20, 0
4-, 3505 X 10
2 5, 0
6, 9164 X lo"'^^
30, 0
1, 2071
40. 0
2, 5296 X 10
50,0
5, 8912
60, 0
l , 2679 x l 0 ~ ^
70, 0
2,8686 X 1 0 ~ ^
75,0
4,4430 X l o " ^
lO"^
-9
10~^
-8
80,0
7, 5434 X 10
90,0
3, 2075 X lo""^
-6
95, 0
1, 2353 x 10
97, 5
2, 4891
10"^
99, 0
6, 5218
lO"^
99, 5
l,-5284 X lo"^
10 -7
Valor Medio
3, 7981
Valor Pontual
4, 7485 x 10
-9
141
Tabela B. 3
Distribuio-das Probabilidades de Falhas para
dois C i r c u i t o s P r i m a r i o
No Redundantes
Percentis (%)
Valor da Funo
0. 5
3, 2983 X l o ' ^
1,0
4, 7208 x 1 0 ' ^
2, 5
9, 4118 x i o " ^
5, 0
1, 7598 x 10
-8
10, 0
3, 6063 x l 0 ' ^
20, 0
7, 8487 X lo"^
25, 0
1, 0925 X lo'"^
-7
30, 0
1, 4167
40, 0
2, 4357 X lo"'^
10
-7
50, 0
4, 1944 x 10
60, 0
6, 8192
70, 0
1,1967 X 1 0
75,0
1,6415x10"^
80, 0
2,3770 X 1 0 " ^
lo"'^
-6
-6
90, 0
5, 6859 X 10
-5
S5, 0
1, 2379 x 10
-5
97, 5
2, 1992
99, 0
10
4, 5379 xlO~^
-5
99, 5
8, 8383 x 10
-6
V a l o r Ale dio
3, 1485 x 10
V a l o r Pontual =
3, 590G x 10 -7
AK-. S
iNb
! ITU i
F-r; G U
142
Tabela B. 4
Distribuio
das Probabilidades de Falhas para
o Circuito Secundario
P e r c e n t i s (%)
Valor da Funo
-9
0, 5
3, 9323 x 10
1,0
7, 4662 X 10
2, 5
1,3226 X l O ' ^
5. 0
2,1486 X l o " ^
-9
-8
10, 0
4, 4885 X 10
20, 0
9, 8578 X 10
25, 0
1, 3341 x'io'"^
30, 0
1, 8498 X lO"*^
40,0
3, 1548
50, 0
4, 9870 X 10
60, 0
7, 9912
70,0
1, 3389 x 10
75, 0
1, 8723 x 10"^
80, 0
2, 5714
90, 0
8, 2683 X 10~^
95,0
2, 072 3
97, 5
4, 5834 X 10
99, 0
8, 0442 X 10
99, 5
1,9383 X 1 0
-8
-7
X
10
-7
-7
V a l o r Medio
5, 2865 X 10
V a l o r Pontual
2, 3207 X 10
10
-6
10
10~^
-5
-5
-4
-6
-7
143
Tabela B. 5
Distribuio' das Probabilidades de Falhas para
dois Circuitos Secundarios
Redundantes
V a l o r da Funo
0, 5
2, 6118
1.0
5, 4517
10
2, 5
1,2148
10
5. 0
2, 8673
10
10. 0
9,1219
10
2 0, 0
2, 5902
10
25, 0
4,0407
10
30, 0
6, 6987
10
40, 0
1, 4257
10
50, 0
2, 9965
10
60, 0
6, 3303
10
70, 0
1,6076
10
75,0
2.4636
10
80, 0
4,4564
10
90, 0
2. 9628
95, 0
1,4910 x l O " ^
97, 5
4, 5121
99, 0
2.2682
99, 5
4,5142
-11
-10
-10
-10
-9
-9
-9
-8
-8
-8
-7
-7
-7
V a l o r Medio
2, 1026
V a l o r Pontual =
7, 9354 x 10
10
-5
-9
-6
X
10
lO"^
-4
10
10
-4
144
Tabela
B. 6
Distribuio das P r o b a b i l i d a d e s de Falhas para
dois Circuitos Secundario
Nao Redundantes
Valor da Funo
-9
0, 5
7, 8647 X 10
1,0
1, 4932 X 10
2. 5
2, 6452 X 10
5, 0
4, 2971
-8
-8
-8
X
10
-8
10, 0
8, 9769 X 10
20, 0
1, 9716
25, 0
2, 6681 x l O
30, 0
3, 6996 X lO""^
40, 0
6, 3096 X 10
50, 0
9, 9740 X 10
60, 0
1,5982 X l O " ^
70, 0
2,6778 X l O " ^
lO"'^
-7
-7
-7
-6
75, 0
3, 7446 X 10
80,0
, 1429
90, 0
1,6537 X 1 0
95, 0
4, 1446 x 10
lO"
-5
-5
-5
97, 5
9, 1668
99, 0
1, 6088 X 10
99, 5
3, 8766 X 10
Valor Medio
1, 0573 X 10
V a l o r Pontual -
4, G414 x 10
10
-4
-4
-7
145
Tabela B, 7
D i s t r i b u i o das P r o b a b i l i d a d e s de F a l h a s p a r a
S i s t e m a de I n s t r u m e n t a o e Controle
V a l o r da F u n o
P e r c e n t i s (/c
-8
0, 5
2, 5370 x 10
1,0
3, 2312 x l o "
2, 5
5, 8304 x 10
5, 0
8,4452 x 1 0
10, 0
1,3975 x 1 0
20,0
2, 5774 x 10
2 5 , 0.
3, 0900 x 10
30, 0
3, 7473 x 10
40, 0
5, 2774 x 10
50,0
7, 8 1 5 6 x 10
60, 0
1,0560 x 1 0
70, 0
1, 4 9 5 0 x 10
75,0
1, 782 5 agio
80, 0
-6
2 , 2 8 1 5 x 10*
90, 0
4 , 5034 x 10"
95, o
6, 9156 x 1 0
-7
-7
-6
-6
97, 5
1, 1372 x 10"
99, 0
1, 5172 x 10 - 5
99, 5
1,8539 x 1 0
V a l o r Mdio
= 1, 8180 x i o "
V a l o r Pontual
= 3, 6337 x 10
146
Tabela B. 8
Distribuio
das Probabilidades de Falhas no
Sistema de Fornecimento de Energia E l t r i c a
Valor da Funo
0, 5
2, 0883 X lO"''"^
1,0
8, 2361
2. 5
2.7573 X 1 0 ~ ^
5, 0
4, 9129
10
1 0, 0
1, 1039
10
20, 0
3, 8593 x 10
2 5, 0
5,7605 X 1 0 " ^
30, 0
8, 6323 X lO"^
40, 0
1, 6429 x 10"'^
50, 0
3, 2726 X lo"'^
60, 0
6, 9588 X lO""^
10"^
-9
-8
-8
-6
70, 0
1,3051 X 1 0
75, 0
2,1496 X 1 0 ~
80, 0
3, 2943 X lo"^
90. 0
8, 7016
95, 0
2, 4065 X lo"'^
97, 5
4,6354 X l o " ^
99, 0
1,1059 X l o " ^
99, 5
1,3586 X 1 0
V a l o r Medio
5, 3847 X 10
V a l o r Pontual -
3, 3634 x 10
10"^
-4
-6
-7
147
APE]NDICE
SIMBOLOGIA
eventos de salda
Lgica "ou" - e usada quando um ou
mais eventos so requeridos para pro
duzir o evento de sada.
eventos de
entrada
Lgica "e" - e'usada quando todos os

eventos de entrada so requeridos para produzir o evento de sada.
o Circuito define o elemento bsico do

sistema a ser analisado, caracterizado
pelo tempo mdio para falhar (MTTF)

e o tempo mdio de reparo ( MTTR).
O triangulo simboliza a transferencia

de uma arvore para outra.
148
REFERENCIAS
BIBLIOGRFICAS
1 . ^ A B C O C K & WILCOX CO. / / Instruction Book-open-pool research

reactor-IEA, Sao Paulo - B r a s i l . / /
1957.
V.
New
York,
N. Y . Aug.
2. BARLON, R . E . & PROSCHAN, F. / / Statistical theory of reliability

and life testing. / / New York, N. Y.Holt, Rinehart and
Winston ,
1975
3. BOYER, B.C. /1 A computer-oriented approach to fault-tree
cons-
truction. / / Washington. DC, Office of the Publications Board
//
(PB-260765)
4. FARMER, F. R. / / Reactor safety and siting : a proposed risk criterion. _NucL_Safet3^ : 539-48, 1967
S^FUSSEL, J . B . / / A formal methodology for fault-tree construction. / /
Nucl. Sci. Engng. ,
421 - 32. 1973
, ^ F U S S E L , J . B. & VESELY. W . E .
/ / A new methodology for obtaining
cut sets for fault-trees. / / Trans Am. Nucl. Soc. 15 : 262, 1972
ii 7. - G A R O J ^ E , J . G . M . / / clculo do mximo acidente crvel com o rea tor l E A - R l . SO Paulo . / / (Dissertao de mestrado.
Instituto
de Pesquisas Energticas e Nucleares , em fase de concluso )

8. GARRICK, B. J . / / Principies of unifield systems safety analysis. / /
Nucl. Engng. Des. 13 (2) : 245 - 321 , 1970
9. GATELY, W. Y . ; STADDARD, D. W . ; WILLIAMS, R. L. / / GO, a compu
ter program for the reliability analysis to complex systems. / / C o lorado Springs, Colo., Kaman Sciences Corporation, 1968
149
10.
GENERA-L A T O M I C C O . / / Instrumentation system operation and

maintenance manual. / / Sem local. Mar. 1 9 7 5 / / ( E - 1 1 5 - 4 0 3 )
1 1 . GRANZIERA, M. R. / / Anlise de acidentes de criticalidade do r e ator de potncia zero do Instituto de Energia Atmica. / / so
Paulo, 1 9 7 8 / / (Dissertao de mestrado. Escola Politcnica
da Universidade de So Paulo)
. 1 2 . HUKAI, R . Y . ;
SOUZA. J.A.; DIAS, A . M . ; FAYA, A. J. G.; SZULAK
C. ; PASQUALETTO, H . ; N A K A T A , H . ; OLIVEIRA NETO, J. M.;

ONUSIC J r . , J . ; MATSUDA. K . ; OJIMA. M. K. ; PELUSO. M. A.
V . ; SANTINA, M. D . ; KOSAKA. N . ; BALTAZAR. O . ; CAROLLO . FILHO, S. P.; FAYA. S. C. S.; RODRIGUES. W . G. / /Relatrio de
anlise de segurana do lEA-Rl modificado. / / So Paulo. Instituto de Energia Atmica , 1 9 7 4 .
1 3 . KONGSO. H . E . / / REDIS. a computer programs for system reliability analysis by direct simulation^ / In. INTERNATIONAL ATOMIC
ENERGY A G E N C Y . / / Reliability of nuclear power plants: international symposium on . . . Innsbruck, 1 4 - 1 8 April. 1 9 7 5 . / / V i e n a .
1 9 7 5 . p. / /
(IAEA-SM-195/17)
1 4 . M C K N I G H T . C . W . ; M O D I E S T , L . J . ; S C H M I D T , N . E . / / An automatic
reliability mathematical model. In : RELIABILITY: proc. 1 9 6 5

ann. symp. on . . . Miami Beach. F I . , 1 9 6 5 . p. 5 1 8 - 3 1 apud COLOMBO. A. G. CADI - a computer code for system availability
and reliability evaluation. Luxembourg, Commission of the European Communities, 1 9 7 3 . / / ( E U R - 4 9 4 0 )
150
15. PANDE^P.K.; SPECTOR, M. E . ; CHATTERJEE, P. Computerized

fault tree analysis : TREEL and MICSUP. / / Berkeley,
Calif .
University of California. Operations Research Center, Apr.1975.

/ / ( O R C - 7 5 - 3 ) . apud WORREL, R. B. & BURDICK, G. R. Qualitative analysis in reliability and safety studies. / / IEEE Trans.
Reliab. 11^(3) ; 164-70 . 1976
16. PELUSO, M. A. V. / / O sistema de controle e instrumentao do re^
ator de potencia zero do lEA e o clculo de sua confiabilidade. / /
so Paulo, 1978 / / (Dissertao de mestrado. Escola Politcnica da Universidade de Sao Paulo)
17. POWERS, G.J.
& TOMPKINS Jr, F. C.
/ / Fault tree synthesis
for chemical processes. / / A . I . Ch.E. Jl. , 20(2) : 376 - 97 ,

1974
18. RAABE, P. H. ; HOUGHTON, W. J.; JOKSIMOVIC, V. / / HTGR acci^
dent initiation and progression analysis status report. V. 1 : In
troduction and summary. / / San Diego , Calif. , General Ato mic Co. , Jan. 1976. / / (GA-A-13613-volume 1 )
19. RASMUSSEN, N . C . / / Reactor safety study : an assessment of accident risks in U. S. Commercial Nuclear Power Plants.// Was^
hington , D. C. , U.S. Nuclear Regulatory Commission, O c t ,
1975. / / (WASH - 1400)
2o). RUMBLE, E . T . ; LEYERENZ Jr , F. L. ; ERDMANN, R. C. / / Ge
neralized fault tree analysis for reactor safety . / / Palo Alto.
Calif. Electric Pov/er Research Institute, Jun. 1975. / / (EPRI217-2-2)
151
21. SEMANDERES, S.N. / / ELRAFT, a computer program for efficient

logic reduction analysis of fault trees. / /
IEEE Trans. Nucl .
Sci, 18(1) : 418- 7, 1971

22. S T A R R , C . / / Social benefit versus
technological
risk.
/ / Scien;
ce, 165 : 1232 - 8 , 1969

23. TENENBAUM , S. / /
Sistema de Controle e Instrumentao
do
l E A - R l . / / so Paulo, Instituto de Pesquisas Energticas e Nucleares, 1978. (Relatrio interno)

24. UNITED STATES ATOMIC ENERGY COMMISION. //Reactor safety
study : an assessment of accident risks in U. S. Commercial Nuclear Power Plants. Appendix 3 -Failure date. / / Washington, .
D . C . , Aug. 1974 / / (WASH-400- Draft)
25. VAN SLYKE, W. J & GRIFFING, D. E . / / ALLCUTS, a fast, comprehensive fault tree analysis code . / / Richland, Wash. , Atlantic
Richfield Hanford Company, Jul, 1975 / / (ARH-ST-112)
26. VESELY, W . E . & NARUM, R. E . / / PREP and KITT computer codes
for the automatic evaluation of a fault tree. / / Idaho Falls, Idaho,
Idaho Nuclear Corporations , 1970. / / ( I N - 1 3 4 9 )
27. WILLIS. C . A . / / Statistical
safety of power reactor . / / Canoga
Park. Calif. . Atomics International. 1965. / / (AI-65-Meno212)

apudHANNOM. W . H . ; GAVIGAN. F . X . ; E M O N . D . E . / / Reliability and safety analysis methodology in the nuclear programs
of
ERDA. / / IEEE Trans Reliab. | | (3) : 140-6. 1976

28. WISE, M . J . / / The United States nuclear plant reliability
data pro-
152
gram. / / In: INTERNATIONAL ATOMIC ENERGY AGENCY. / /

Reliability of nuclear power plants, proceed.of a Symposium on
. . . . held Innsbruck. Austria from 14 to 18 April. 1975. / / p . 319
29. WOODCOCK, E . R. / / The calculation of reliability of systems : the
program NOTED, / / Risley. UKAEA Health and Safety Branch.
1971 / / (AHSB(S)R-153 )

17098

Enviado por

Dados do documento

Direitos autorais

Formatos disponíveis

Compartilhar este documento

Compartilhar ou incorporar documento

Opções de compartilhamento

Você considera este documento útil?

Este conteúdo é inapropriado?

Direitos autorais:

Formatos disponíveis

17098

Enviado por

Direitos autorais:

Formatos disponíveis

ATENO

O ORIGINAL DESTE TEM NO FORNECE CONDIES

INSTITUTO DE PESQUISAS ENERGTICAS E NUCLEARES

CLCULO OA PROBABILIDADE DE OCORRER ACIDENTES NO REATOR

Dissertao apresentada ao Instituto de

Orientador: Prof. Dr. Rot>erto Y. Hukai

SECRETARIA DA INDUSTRIA, COMERCIO, CENCIA E TECNOLOGIA

Dissertao apresentada ao Instituto de

Orientador: Prof. Dr. Roberto Y. Hukai

Ao Dr. Leo Augusto Krieger,

Agradeo a todos aqueles que colaboraram para a rea

- Ao Dr. Roberto Y . Hukai, meu orientador e amigo,

- Ao Sr. Joel Alvarenga de Souza, Gerente de

do Centro de Operao e Utilizao Reator de Pesquisa que entre ou

tornou possvel o meu estgio neste reator;

- Aos colegas do Centro de Operao e Utilizao Rea

- Aos colegas do Centro de Processamento de Dados.

1 . 2 - Metodologia do Risco e o Relatrio Rasmussen

1 . 4 - Objetivos desta Dissertao

DESCRIO SUSCINTA DO REATOR E SEU FUNCIONAMENTO

2 . 2 - Sistema de Instrumentao e Controle

2 . 3 - Desligamento rpido ("SCRAM") do reator

2 . 3 . 2 - Res do Circuito de "SCRAM"

3 . 1 - Acidentes envolvendo causas externas

3 . 2 - Acidentes envolvendo a responsabilidade do operador

3 . 2 . 1 - Acidentes devido a possveis queda de objetos sobre o

4. CALCULO DA CONFLA.BILIDADE DOS SISTEMAS

4. 3 - Estudo sobre o tipo de falhas e m componentes b s i c o s

4. 6 - Limites Analticos e Sintetizao de uma r v o r e de Falha

5. QUANTIFICAO DAS R V O R E S DE FALHAS

5. 3 - c l c u l o aproximado das r v o r e s de Falhas

5. 4 - . l g e b r a Booleana e T e o r i a das Probabilidades .

5. 5 - Utilizao dos dados

5 . 6 - P a r m e t r o s usados para testes e manutenes

5.8 - Tecnicas^de c l c u l o e a Distribuio L o g - n o r m a l . ^ .

5. 9 - P r o p a g a o do e r r o pelo mtodo de Monte C a r i o

CALCULATION OF THE PROBABILITY TO OCCOUR ACCIDENTS

This dissertation concerns with the procedures and

research reactor. It presents a summa

ry description of the reactor systems, fail trees for the

diferente das convencionais,

senvolvida tanto sob o ponto de vista tcnico como de segurana.

segurana, tanto para o homem como para o seu habitat.

o que significa dizer que a sua transmutao em outros ele-

mentos com caractersticas energticas mais estveis pode levar

Estes elementos apresentam-se tanto na forma slida,

mo gasosa e sua liberao para o meio ambiente pode ser altamen

em contato com eles.

Todos estes fatores contriburam para que o

gimento dos reatores fosse acompanhado de preocupaes maiores

teno de ao e concreto para impedir um postivel escapamento de

deles no comprometa a segurana da operao.

O licenciamento das centrais nucleares, por partes

Os estudos de viabilidade construtiva de uma

de seis partes . A primeira, responsvel pela anlise de localizao,

mostra os estudos realizados com respeito a parte geolgica

direo e freqncia dos ventos,

viomtrico, capacidade de disperso dos poluentes, movimento de

do reator. Nesta fase so relacionados os dados tcnicos,

o dos materiais empregados, controle de qualidade, equipamenr

dos materiais radioativos e sistema de conteno. Nos captulos se

de controle. Logo a seguir feita uma previso de programao

modo como os sistemas de seguran-

a interferem para sanar ou minimizar seus efeitos.